Η Microsoft ανακάλυψε μια ομάδα hacking με το όνομα Flax Typhoon η οποία χρησιμοποιεί τεχνικές LOLBins για να αποφύγει την ανίχνευση.
Η Microsoft έχει εντοπίσει μια ομάδα hacking που ονομάζεται Flax Typhoon, η οποία επιτίθεται σε κυβερνητικούς φορείς, εκπαιδευτικά ιδρύματα, κρίσιμες βιομηχανίες κατασκευής και οργανισμούς πληροφορικής, πιθανότατα για σκοπούς κατασκοπείας.
Ο απειλητικός παράγοντας δεν επαρκεί στο malware για να αποκτήσει και να διατηρήσει πρόσβαση στο δίκτυο του θύματος και προτιμά να χρησιμοποιεί κυρίως στοιχεία που ήδη υπάρχουν στο λειτουργικό σύστημα, τα οποία ονομάζονται “living-off-the-land binaries” ή LOLBins, και νόμιμο software.
Λειτουργώντας από τον πρώτο μισό του 2021, η ομάδα Flax Typhoon επικεντρώθηκε κυρίως σε οργανισμούς στην Ταϊβάν, αν και η Microsoft ανακάλυψε μερικά θύματα στη Νοτιοανατολική Ασία, τη Βόρεια Αμερική και την Αφρική.
Δείτε επίσης: Νέα μελέτη ρίχνει φως στο Adhubllka Ransomware Network
Εντοπίστηκαν Flax Typhoon TTPs
Στην εκστρατεία που εντόπισε η Microsoft, η ομάδα Flax Typhoon απέκτησε αρχική πρόσβαση εκμεταλλευόμενη γνωστές ευπάθειες σε δημόσια προσβάσιμους διακομιστές, συμπεριλαμβανομένων των VPN, των δικτυακών, των εφαρμογών Java και SQL.
Οι χάκερς έκαναν drop το China Chopper, ένα μικρό (4KB) αλλά ισχυρό web shell που παρέχει δυνατότητες εκτέλεσης απομακρυσμένου κώδικα.
Αν απαιτείται, οι χάκερ αυξάνουν τα προνόμιά τους σε επίπεδο διαχειριστή χρησιμοποιώντας τα δημοσίως διαθέσιμα εργαλεία ανοικτού κώδικα “Juicy Potato” και “BadPotato” που εκμεταλλεύονται γνωστές ευπάθειες για να αποκτήσουν “υψηλότερα” δικαιώματα.
Στη συνέχεια, η ομάδα Flax Typhoon διατηρεί το persistence του απενεργοποιώντας την ελέγχου ταυτότητας σε δικτυακό επίπεδο (Network-Level Authentication – NLA) μέσω τροποποιήσεων στο μητρώο και εκμεταλλευόμενο το χαρακτηριστικό της πρόσβασης Sticky Keys των Windows για να δημιουργήσει μια σύνδεση RDP (Remote Desktop Protocol).
Για να παρακάμψει τους περιορισμούς συνδεσιμότητας RDP προς το εσωτερικό δίκτυο, η ομάδα Flax Typhoon εγκαθιστά έναν νόμιμο VPN (virtual private network) bridge για να διατηρήσει τη σύνδεση μεταξύ του παραβιασμένου συστήματος και του εξωτερικού τους διακομιστή.
Οι χάκερ πραγματοποιούν λήψη του ανοιχτού κώδικα SoftEther VPN client χρησιμοποιώντας LOLBins όπως το βοηθητικό πρόγραμμα PowerShell Invoke-WebRequest, το certutil ή το bitsadmin και κάνουν κατάχρηση διαφόρων ενσωματωμένων εργαλείων των Windows για να ρυθμίσουν την αυτόματη εκκίνηση της εφαρμογής VPN κατά την εκκίνηση του συστήματος.
Για να ελαχιστοποιήσουν τον κίνδυνο ανίχνευσης, οι επιτιθέμενοι το μετονομάζουν σε ‘conhost.exe’ ή ‘dllhost.exe’, προσδίδοντάς του την εμφάνιση μιας νόμιμης συνιστώσας των Windows.
Επιπλέον, η ομάδα Flax Typhoon χρησιμοποιεί τη λειτουργία VPN-over-HTTPS του SoftEther για να αποκρύψει την κίνηση του VPN ως κανονική κίνηση HTTPS.
Η Microsoft αναφέρει ότι οι χάκερ χρησιμοποιούν το Windows Remote Management (WinRM), το WMIC και άλλα LOLBins για την πλευρική μετακίνηση.
Οι ερευνητές αναφέρουν ότι αυτός ο adversary που εδρεύει στην Κίνα χρησιμοποιεί συχνά το εργαλείο Mimikatz για να εξάγει credentials από τη Security Authority Subsystem Service (LSASS) και τη μονάδα καταχώρησης λογαριασμών ασφάλειας (SAM) του μητρώου.
Η Microsoft δεν παρατήρησε τη χρήση των κλεμμένων διαπιστευτηρίων από την ομάδα Flax Typhoon για να εξάγει επιπλέον δεδομένα, γεγονός που καθιστά ασαφές τον κύριο στόχο του δράστη προς το παρόν.
Δείτε επίσης: Η συμμορία ransomware Rhysida ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην Prospect Medical Holdings
Προστασία
Η Microsoft συνιστά στις οργανώσεις να εφαρμόζουν τις πιο πρόσφατες ενημερώσεις ασφαλείας σε διαδικτυακές ενδιάμεσες συσκευές και δημόσιους servers, ενώ το multi-factor authentication (MFA) θα πρέπει να είναι ενεργοποιημένο σε όλους τους λογαριασμούς.
Επιπλέον, η παρακολούθηση του μητρώου θα μπορούσε να βοηθήσει στην ανίχνευση προσπαθειών τροποποίησης και μη εξουσιοδοτημένων αλλαγών, όπως αυτές που πραγματοποιήθηκαν από την Flax Typhoon για την απενεργοποίηση του NLA.
Οι οργανισμοί που υποψιάζονται παραβίαση από αυτόν τον συγκεκριμένο απειλητικό παράγοντα πρέπει να εξετάσουν διεξοδικά τα δίκτυά τους, καθώς οι μεγάλες περίοδοι παραμονής της ομάδας Flax Typhoon επιτρέπουν την παραβίαση πολλών λογαριασμών και την αλλαγή της διαμόρφωσης του συστήματος για μακροπρόθεσμη πρόσβαση.
Πηγή πληροφοριών: bleepingcomputer.com
