Os caçadores de ameaças da Microsoft flagraram um ator APT apoiado pelo governo chinês invadindo organizações em Taiwan com uso mínimo de malware e mantendo persistência furtiva, abusando de ferramentas de software legítimas.
A operação de ciberespionagem, chamada Flax Typhoon, invade organizações explorando vulnerabilidades conhecidas em servidores públicos e, em seguida, usando ferramentas legítimas incorporadas ao sistema operacional Windows e software benigno para permanecer silenciosamente nessas redes.
“Como esta atividade depende de contas válidas e binários que vivem fora da terra (LOLBins), detectar e mitigar este ataque pode ser um desafio. As contas comprometidas devem ser encerradas ou alteradas. Os sistemas comprometidos devem ser isolados e investigados”, alertou a Microsoft em um comunicado. nota de pesquisa documentando as atividades do Flax Typhoon.
A gigante do software de Redmond, Washington, disse que as técnicas de hacking poderiam ser facilmente reutilizadas em ataques direcionados e instou os defensores a procurar sinais de comprometimento e remover completamente as ferramentas maliciosas e a infraestrutura C2. Ademais, as empresas na mira dos intervenientes da APT devem verificar os registos em busca de sinais de contas comprometidas que possam ter sido utilizadas para fins maliciosos.
“[The] o comportamento observado sugere que o ator da ameaça pretende realizar espionagem e manter o acesso a organizações em uma ampla gama de setores pelo maior tempo possível”, alertou a Microsoft, observando que o grupo de hackers está ativo desde pelo menos meados de 2021 e tem como alvo o governo agências e organizações de educação, manufatura crítica e tecnologia da informação em Taiwan.
A empresa disse ter visto vítimas em outros lugares do Sudeste Asiático, bem como na América do Norte e na África.
A equipe de inteligência de ameaças da Microsoft publicou detalhes sobre o uso de ferramentas de linha de comando pelo Flax Typhoon para primeiro estabelecer acesso persistente através do protocolo de desktop remoto, implantação de uma conexão VPN para infraestrutura de rede controlada por atores e desvio de credenciais de sistemas comprometidos.
Nos casos em que o Flax Typhoon precisa se mover lateralmente para acessar outros sistemas na rede comprometida, a Microsoft disse que pegou o grupo APT usando LOLBins, incluindo Windows Remote Management (WinRM) e WMIC.
Uma vez estabelecida a persistência, a Microsoft disse que os hackers começam a coletar credenciais usando ferramentas e técnicas comuns, incluindo o direcionamento da memória de processo do Local Security Authority Subsystem Service (LSASS) e do registro do Security Account Manager (SAM).
