Un gruppo di minacce persistenti avanzate (APT) sostenuto dalla Cina, noto come Flax Typhoon, ha installato una serie di infezioni persistenti e a lungo termine all’interno di molte organizzazioni taiwanesi, probabilmente per condurre una vasta campagna di cyber spionaggio, utilizzando una quantità minima di malware.
Dettagli dell’attacco
Secondo Microsoft, il gruppo di cyberattacco sponsorizzato dallo stato sta prevalentemente “vivendo sulla terra”, utilizzando strumenti legittimi e utility integrate nel sistema operativo Windows per condurre un’operazione estremamente furtiva e persistente. La maggior parte delle vittime di Flax Typhoon si trova attualmente a Taiwan, ma Microsoft avverte che le imprese al di fuori di Taiwan dovrebbero essere all’erta. La campagna sta “utilizzando tecniche che potrebbero essere facilmente riutilizzate in altre operazioni al di fuori della regione”. In passato, questa minaccia statale ha preso di mira una vasta gamma di settori in tutto il Sud-est asiatico, così come in Nord America e Africa.
Metodologia dell’attacco
A differenza di molti altri APT, Flax Typhoon preferisce utilizzare malware disponibili sul mercato e utility native di Windows, noti come “binari viventi sulla terra” o LOLbins, che sono più difficili da attribuire. La routine di infezione osservata da Microsoft include:
- Accesso iniziale: sfruttando vulnerabilità note in applicazioni VPN, Web, Java e SQL pubbliche per distribuire il webshell “China Chopper”.
- Escalation dei privilegi: utilizzando strumenti open source come Juicy Potato e BadPotato.
- Stabilire l’accesso remoto: utilizzando il comando Windows Management Instrumentation (WMIC) per disabilitare l’autenticazione a livello di rete (NLA) per il Protocollo Desktop Remoto (RDP).
- Persistenza: creando un servizio Windows che avvia automaticamente la connessione VPN all’avvio del sistema.
- Movimento laterale: utilizzando altri LOLBins per eseguire la scansione della rete e delle vulnerabilità.
- Accesso alle credenziali: utilizzando frequentemente Mimikatz per scaricare automaticamente le password hashate.
Obiettivo dell’APT
Sebbene l’APT sembri attendere il momento giusto per eseguire un’azione finale, l’esfiltrazione dei dati è l’obiettivo probabile. Microsoft ha notato che “questo modello di attività è insolito in quanto si verifica una minima attività dopo che l’attore stabilisce la persistenza”.
Protezione contro i compromessi
Microsoft ha fornito una serie di passi da seguire se le organizzazioni sono compromesse. Per evitare completamente la situazione, le organizzazioni dovrebbero assicurarsi che tutti i server pubblici siano aggiornati e monitorati, e avere ulteriori misure di sicurezza come la validazione dell’input dell’utente e il monitoraggio dell’integrità dei file.