Flax Typhoon adlı Çin destekli bir gelişmiş kalıcı tehdit (APT) grubu, düzinelerce Tayvanlı kuruluşa, muhtemelen kapsamlı bir siber casusluk kampanyası yürütecek kalıcı, uzun vadeli bir enfeksiyon ağı kurdu ve bunu yalnızca minimum miktarda veri kullanarak yaptı. kötü amaçlı yazılım.
Microsoft’a göre, devlet destekli siber saldırı grubu, son derece gizli ve kalıcı bir operasyon gerçekleştirmek için Windows işletim sisteminde yerleşik meşru araçları ve yardımcı programları kullanarak çoğunlukla karadan geçiniyor.
Microsoft’un bu hafta Flax Typhoon hakkında yaptığı bir uyarıya göre, şimdilik Flax Typhoon kurbanlarının çoğu Tayvan’da toplanıyor. Bilgisayar devi, saldırıların kapsamını açıklamıyor ancak Tayvan dışındaki işletmelerin de dikkatli olması gerektiğini belirtti.
Kampanyanın “bölge dışındaki diğer operasyonlarda kolaylıkla yeniden kullanılabilecek teknikleri kullandığı” konusunda uyardı. Ve gerçekten de geçmişte, ulus-devlet tehdidi Güneydoğu Asya’nın yanı sıra Kuzey Amerika ve Afrika’da da geniş bir endüstri yelpazesini (devlet kurumları ve eğitim, kritik üretim ve bilgi teknolojisi dahil) hedef alıyordu.
Microsoft, “bu saldırıyı tespit etmenin ve azaltmanın zor olabileceği” göz önüne alındığında, enfeksiyonların verdiği hasarın tam kapsamını değerlendirmenin zor olacağı konusunda uyardı. “Ele geçirilen hesaplar kapatılmalı veya değiştirilmeli. Ele geçirilen sistemler izole edilmeli ve araştırılmalıdır.”
Toprak Dışında Yaşamak ve Emtia Kötü Amaçlı Yazılımları
Özel siber saldırı araçlarının belirli cephaneliklerini oluşturma ve geliştirme konusunda başarılı olan diğer birçok APT’nin aksine, Flax Typhoon, kullanıma hazır kötü amaçlı yazılımları ve yerel Windows yardımcı programlarını (diğer bir deyişle karasal ikili dosyalar veya LOLbins) kullanarak daha az tanımlayıcı bir yol izlemeyi tercih ediyor. ) ilişkilendirme için kullanılması daha zordur.
Microsoft tarafından gözlemlenen en son saldırılardaki bulaşma rutini aşağıdaki gibidir:
- İlk erişim: Bu, tehlikeye atılan sunucuda uzaktan kod yürütülmesine izin veren ticari China Chopper web kabuğunu dağıtmak için halka açık VPN, Web, Java ve SQL uygulamalarındaki bilinen güvenlik açıklarından yararlanılarak yapılır.
- Ayrıcalık artışı: Gerekirse Flax Typhoon, yerel ayrıcalık yükseltme güvenlik açıklarından yararlanmak için Juicy Potato, BadPotato ve diğer açık kaynaklı araçları kullanır.
- Uzaktan erişimin kurulması: Flax Typhoon, Uzak Masaüstü Protokolü (RDP) için ağ düzeyinde kimlik doğrulamayı (NLA) devre dışı bırakmak üzere Windows Yönetim Araçları komut satırını (WMIC) (veya PowerShell’i veya yerel yönetici ayrıcalıklarına sahip Windows Terminalini) kullanır. Bu, Flax Typhoon’un kimlik doğrulaması yapmadan Windows oturum açma ekranına erişmesine ve oradan Windows’taki Yapışkan Tuşlar erişilebilirlik özelliğini kullanarak Görev Yöneticisini yerel sistem ayrıcalıklarıyla başlatmasına olanak tanır. Saldırganlar daha sonra aktör tarafından kontrol edilen ağ altyapısına otomatik olarak bağlanmak için meşru bir VPN köprüsü kurar.
- Kalıcılık: Flax Typhoon, sistem başlatıldığında VPN bağlantısını otomatik olarak başlatan bir Windows hizmeti oluşturmak için Hizmet Kontrol Yöneticisini (SCM) kullanır ve aktörün güvenliği ihlal edilen sistemin kullanılabilirliğini izlemesine ve bir RDP bağlantısı kurmasına olanak tanır.
- Yanal hareket: Aktör, ele geçirilen ağdaki diğer sistemlere erişmek için ağ ve güvenlik açığı taraması gerçekleştirmek üzere Windows Uzaktan Yönetim (WinRM) ve WMIC dahil olmak üzere diğer LOLBin’leri kullanır.
- Kimlik bilgileri erişimi: Flax Typhoon, yerel sistemde oturum açan kullanıcılar için karma parolaların otomatik olarak dökümünü yapmak üzere Mimikatz’ı sık sık dağıtır. Ortaya çıkan şifre karmaları çevrimdışı olarak kırılabilir veya güvenliği ihlal edilen ağdaki diğer kaynaklara erişmek için karma geçiş (PtH) saldırılarında kullanılabilir.
İlginç bir şekilde, APT bir oyunsonunu yürütmeye geldiğinde zamanını bekliyor gibi görünüyor, ancak olası hedef (Microsoft’un yakın zamanda Çin sponsorluğundaki Volt Typhoon etkinliği için işaretlediği potansiyel kinetik sonuçlardan ziyade) veri sızıntısı olsa da.
Microsoft’un analizine göre “Bu aktivite modeli alışılmadık bir durum çünkü aktör kalıcılık sağladıktan sonra minimum aktivite meydana geliyor.” “Flax Typhoon’un keşif ve kimlik bilgilerine erişim faaliyetleri, daha fazla veri toplama ve sızma hedeflerini mümkün kılmıyor gibi görünüyor. Aktörün gözlemlenen davranışı, Flax Typhoon’un casusluk yapma ve ağ dayanaklarını koruma niyetinde olduğunu öne sürse de Microsoft, Flax Typhoon’un nihai hedeflere yönelik eylemini gözlemlemedi Bu kampanyada.”
Uzlaşmaya Karşı Koruma
Microsoft, gönderisinde kuruluşların güvenliğinin ihlal edilmesi ve ağlarındaki Flax Typhoon etkinliğinin ölçeğini değerlendirmeleri ve bir enfeksiyonu düzeltmeleri gerekiyorsa atılacak bir dizi adım önerdi. Bu durumdan tamamen kaçınmak için kuruluşlar, halka açık tüm sunucuların yamalanmış ve güncel olduğundan ve kullanıcı girişi doğrulaması, dosya bütünlüğü izleme, davranışsal izleme ve Web uygulaması güvenlik duvarları gibi ek izleme ve güvenliğe sahip olduğundan emin olmalıdır.
Yöneticiler ayrıca Windows kayıt defterini yetkisiz değişikliklere karşı izleyebilir; Yetkisiz sayılabilecek herhangi bir RDP trafiğini izlemek; çok faktörlü kimlik doğrulama ve diğer önlemlerle hesap güvenliğini güçlendirin.