https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

新聞

注意!中國國家駭客「亞麻颱風」寄生合法工具長期隱匿於台灣各行業組織

2023 / 08 / 27
編輯部
注意!中國國家駭客「亞麻颱風」寄生合法工具長期隱匿於台灣各行業組織
微軟已發現名為 Flax Typhoon(亞麻颱風) 中國國家駭客組織針對台灣的數十個組織,可能意圖進行間諜活動。Flax Typhoon與微軟跟蹤之ETHEREAL PANDA 重疊。

中國的民族國家演員。根據觀察到的 Flax Typhoon 行為判斷,微軟認為該組織正執行間諜活動並儘可能長時間地保持對各行業組織的訪問權限。目前微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標,但是是微軟目前的重點關注活動。Flax Typhoon行動依賴有效帳戶和本地二進製文件 (LOLBins),因此檢測和緩解非常有挑戰性,可能需要關閉或更改受損帳戶,必須隔離並調查受損系統。

Flax Typhoon 自 2021 年中期以來一直活躍,目標是台灣政府機構以及教育、關鍵製造和資訊技術單位。在東南亞其他地方以及北美和非洲也觀察到了一些受害者。Flax Typhoon 專注於持久性、橫向移動和憑證訪問。微軟表示,Flax Typhoon 使用China Chopper Web shell、Metasploit、Juicy Potato 權限升級工具、Mimikatz 和 SoftEther VPN。

Flax Typhoon採取「寄生攻擊」(living-off-the-land)手法利用公開的伺服器已知漏洞部署China Chopper等 Web shell 來實現初始訪問。初始訪問後,Flax Typhoon 使用命令行工具藉由遠端桌面通訊協議(RDP)建立持久訪問,然後部署 VPN 連接到攻擊者控制的網路基礎設施,最後從受感染的系統收集憑證。Flax Typhoon 進一步使用此 VPN 存取來掃描受感染系統中目標系統和組織上的漏洞。

Microsoft 觀察到攻擊者使用Juicy Potato、BadPotato和其他開源工具來利用伺服器漏洞。為了實現長期RDP訪問,攻擊者禁用 RDP 的網路級身份驗證 (NLA),允許他們無需身份驗證即可進入Windows 登錄畫面,替換相黏鍵密鑰二進製文件,並建立 VPN 連接。
 
相黏鍵是 Windows 中的一項輔助功能,允許用戶一次按一個輔助鍵(例如Shift、Ctrl、Alt ),而不是同時按下。它包括一個快捷方式,用戶可以連續按Shift鍵五次來啟動管理相黏鍵的程式sethc.exe 。用戶可以隨時調用此快捷方式,包括在登錄畫面上。為了利用此功能,Flax Typhoon 更改了指定sethc.exe位置的註冊項目,並加入參數,導致 Windows 工作管理員作為sethc.exe的調試器啟動。因此,當攻擊者在 Windows 登錄畫面上使用相黏鍵快捷方式時,工作管理員將以本地系統權限啟動。

為了部署 VPN 連接,Flax Typhoon從其網絡基礎設施下載SoftEther VPN的可執行文件。攻擊者使用多個 LOLBins下載該工具,例如 PowerShell Invoke-WebRequest實用程式、certutil或Bitsadmin。然後,Flax Typhoon 使用服務控制管理器 (SCM)建立一個 Windows 服務,該服務在系統啟動時自動啟動 VPN 連接。這可以讓攻擊者監控受感染系統的可用性並建立 RDP 連接。

Flax Typhoon 對 VPN 連接採取了多項預防措施。首先,攻擊者使用企業環境中可以找到的合法 VPN 應用程式。因此,該文件本身幾乎肯定不會被防毒系統檢測到。其次,攻擊者將可執行文件從vpnbridge.exe重命名為conhost.exe或dllhost.exe。這些名稱分別模仿合法的 Windows 組件控制台窗口主機進程和組件對像模型代理。第三,參與者使用 SoftEther 的VPN-over-HTTPS操作模式,該模式使用協議隧道將乙太網數據封包成兼容的 HTTPS 數據封包並將其傳輸到 TCP 端口 443。這使得 VPN 連接很難與合法的 HTTPS 流量區分開來,而大多數網路安全設備不會阻止合法的 HTTPS 流量。

如果 Flax Typhoon 需要橫向移動訪問受感染網路上的其他系統,攻擊者會使用 LOLBins,包括 Windows 遠端管理 (WinRM) 和 WMIC。Microsoft 並觀察到 Flax Typhoon 藉著SoftEther VPN 橋將網絡流量路由到其他目標系統。該網路流量包括網路掃描、漏洞掃描和利用嘗試。

Flax Typhoon 的最常見的目標是本地安全機構子系統服務(LSASS) 進程內存和安全帳戶管理器(SAM) 註冊表配置單元。這兩個檔案都包含登錄本地系統的用戶哈希密碼。Flax Typhoon 經常部署 Mimikatz惡意軟體,在安全措施不當時可以自動轉儲這些檔案。生成的密碼哈希可以離線破解或用於哈希傳遞 (PtH) 攻擊,以存取受感染網絡上的其他資源。

Flax Typhoon 更利用系統還原使用的還原點。還原點包含有關 Windows 操作系統的數據,系統所有者可以使用這些數據在系統無法運行時恢復對系統所做的更改,而不是用戶資料的備份。Flax Typhoon 可以使用此資訊來更了解受感染的系統或刪除惡意活動跡象的模板。

Flax Typhoon的活動模式並不尋常的,因為已發現的行為及活動似乎無法實現進一步的數據收集和滲透目標,表明 Flax Typhoon 意圖執行間諜活動並維持網路立足點,但 Microsoft 尚未觀察到 Flax Typhoon實現最終目標的行為。