歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
注意!中國國家駭客「亞麻颱風」寄生合法工具長期隱匿於台灣各行業組織
2023 / 08 / 27
編輯部
微軟已發現名為 Flax Typhoon(亞麻颱風) 中國國家駭客組織針對台灣的數十個組織,可能意圖進行間諜活動。Flax Typhoon與微軟跟蹤之ETHEREAL PANDA 重疊。
中國的民族國家演員。根據觀察到的 Flax Typhoon 行為判斷,微軟認為該組織正執行間諜活動並儘可能長時間地保持對各行業組織的訪問權限。目前微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標,但是是微軟目前的重點關注活動。Flax Typhoon行動依賴有效帳戶和本地二進製文件 (LOLBins),因此檢測和緩解非常有挑戰性,可能需要關閉或更改受損帳戶,必須隔離並調查受損系統。
Flax Typhoon 自 2021 年中期以來一直活躍,目標是台灣政府機構以及教育、關鍵製造和資訊技術單位。在東南亞其他地方以及北美和非洲也觀察到了一些受害者。
Flax Typhoon 專注於持久性、橫向移動和憑證訪問。微軟表示,Flax Typhoon 使用China Chopper Web shell、Metasploit、Juicy Potato 權限升級工具、Mimikatz 和 SoftEther VPN。
Flax Typhoon採取「寄生攻擊」(living-off-the-land)手法利用公開的伺服器已知漏洞部署China Chopper等 Web shell 來實現初始訪問。初始訪問後,Flax Typhoon 使用命令行工具藉由遠端桌面通訊協議(RDP)建立持久訪問,然後部署 VPN 連接到攻擊者控制的網路基礎設施,最後從受感染的系統收集憑證。Flax Typhoon 進一步使用此 VPN 存取來掃描受感染系統中目標系統和組織上的漏洞。
Microsoft 觀察到攻擊者使用Juicy Potato、BadPotato和其他開源工具來利用伺服器漏洞。為了實現長期RDP訪問,攻擊者禁用 RDP 的網路級身份驗證 (NLA),允許他們無需身份驗證即可進入Windows 登錄畫面,替換相黏鍵密鑰二進製文件,並建立 VPN 連接。
相黏鍵是 Windows 中的一項輔助功能,允許用戶一次按一個輔助鍵(例如Shift、Ctrl、Alt ),而不是同時按下。它包括一個快捷方式,用戶可以連續按Shift鍵五次來啟動管理相黏鍵的程式sethc.exe 。用戶可以隨時調用此快捷方式,包括在登錄畫面上。為了利用此功能,Flax Typhoon 更改了指定sethc.exe位置的註冊項目,並加入參數,導致 Windows 工作管理員作為sethc.exe的調試器啟動。因此,當攻擊者在 Windows 登錄畫面上使用相黏鍵快捷方式時,工作管理員將以本地系統權限啟動。
為了部署 VPN 連接,Flax Typhoon從其網絡基礎設施下載SoftEther VPN的可執行文件。攻擊者使用多個 LOLBins下載該工具,例如 PowerShell Invoke-WebRequest實用程式、certutil或Bitsadmin。然後,Flax Typhoon 使用服務控制管理器 (SCM)建立一個 Windows 服務,該服務在系統啟動時自動啟動 VPN 連接。這可以讓攻擊者監控受感染系統的可用性並建立 RDP 連接。
Flax Typhoon 對 VPN 連接採取了多項預防措施。首先,攻擊者使用企業環境中可以找到的合法 VPN 應用程式。因此,該文件本身幾乎肯定不會被防毒系統檢測到。其次,攻擊者將可執行文件從vpnbridge.exe重命名為conhost.exe或dllhost.exe。這些名稱分別模仿合法的 Windows 組件控制台窗口主機進程和組件對像模型代理。第三,參與者使用 SoftEther 的VPN-over-HTTPS操作模式,該模式使用協議隧道將乙太網數據封包成兼容的 HTTPS 數據封包並將其傳輸到 TCP 端口 443。這使得 VPN 連接很難與合法的 HTTPS 流量區分開來,而大多數網路安全設備不會阻止合法的 HTTPS 流量。
如果 Flax Typhoon 需要橫向移動訪問受感染網路上的其他系統,攻擊者會使用 LOLBins,包括 Windows 遠端管理 (WinRM) 和 WMIC。Microsoft 並觀察到 Flax Typhoon 藉著SoftEther VPN 橋將網絡流量路由到其他目標系統。該網路流量包括網路掃描、漏洞掃描和利用嘗試。
Flax Typhoon 的最常見的目標是本地安全機構子系統服務(LSASS) 進程內存和安全帳戶管理器(SAM) 註冊表配置單元。這兩個檔案都包含登錄本地系統的用戶哈希密碼。Flax Typhoon 經常部署 Mimikatz惡意軟體,在安全措施不當時可以自動轉儲這些檔案。生成的密碼哈希可以離線破解或用於哈希傳遞 (PtH) 攻擊,以存取受感染網絡上的其他資源。
Flax Typhoon 更利用系統還原使用的還原點。還原點包含有關 Windows 操作系統的數據,系統所有者可以使用這些數據在系統無法運行時恢復對系統所做的更改,而不是用戶資料的備份。Flax Typhoon 可以使用此資訊來更了解受感染的系統或刪除惡意活動跡象的模板。
Flax Typhoon的活動模式並不尋常的,因為已發現的行為及活動似乎無法實現進一步的數據收集和滲透目標,表明 Flax Typhoon 意圖執行間諜活動並維持網路立足點,但 Microsoft 尚未觀察到 Flax Typhoon實現最終目標的行為。
寄生攻擊
VPN安全
RDP
NLA
LOLBins
橫向移動
政府安全
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
企業資安防禦全面革新 AI × SASE × IAM × MDR
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊