A Microsoft identificou um novo grupo de hackers que agora rastreia como Flax Typhoon, que tem como alvo agências governamentais e organizações de educação, manufatura crítica e organizações de tecnologia da informação, provavelmente para fins de espionagem.
O ator da ameaça não depende muito de malware para obter e manter acesso à rede da vítima e prefere usar principalmente componentes já disponíveis no sistema operacional, os chamados binários Living-off-the-land ou LOLBins, e software legítimo.
Em operação desde pelo menos meados de 2021, o Flax Typhoon teve como alvo principalmente organizações em Taiwan, embora a Microsoft tenha descoberto algumas vítimas no Sudeste Asiático, na América do Norte e na África.
TTPs observados do tufão de linho
Na campanha observada pela Microsoft, o Flax Typhoon obteve acesso inicial explorando vulnerabilidades conhecidas em servidores públicos, incluindo VPN, web, Java e aplicativos SQL.
Os hackers lançaram o China Chopper, um web shell pequeno (4 KB), mas poderoso, que fornece recursos de execução remota de código.
Se necessário, os hackers elevam seus privilégios ao nível de administrador usando as ferramentas de código aberto ‘Juicy Potato’ e ‘BadPotato’ disponíveis publicamente, que exploram vulnerabilidades conhecidas para obter permissões mais altas.
Em seguida, o Flax Typhoon estabelece persistência desativando a autenticação em nível de rede (NLA) por meio de modificações no registro e explorando o recurso de acessibilidade Windows Sticky Keys para configurar uma conexão RDP (Remote Desktop Protocol).
“O Flax Typhoon pode acessar o sistema comprometido via RDP, usar o atalho Sticky Keys na tela de login e acessar o Gerenciador de Tarefas com privilégios de sistema local”, explica a Microsoft.
“A partir daí, o ator pode iniciar o Terminal, criar despejos de memória e realizar praticamente qualquer outra ação no sistema comprometido.”
Adicionando a chave do Registro que desativa o NLA (Microsoft)
Para contornar as restrições de conectividade RDP à rede interna, o Flax Typhoon instala uma ponte VPN (rede virtual privada) legítima para manter o link entre o sistema comprometido e o servidor externo.
Os hackers baixam o cliente VPN SoftEther de código aberto usando LOLBins como o utilitário PowerShell Invoke-WebRequest, certutil ou bitsadmin e abusam de várias ferramentas integradas do Windows para configurar o aplicativo VPN para iniciar automaticamente na inicialização do sistema.
Serviço de sistema para iniciar SoftEther VPN (Microsoft)
Para minimizar o risco de detecção, os invasores o renomeiam para ‘conhost.exe’ ou ‘dllhost.exe’, mascarando-o assim como um componente legítimo do Windows.
Além disso, o Flax Typhoon usa o modo VPN sobre HTTPS da SoftEther para ocultar o tráfego VPN como tráfego HTTPS padrão.
A Microsoft diz que os hackers usam o Windows Remote Management (WinRM), WMIC e outros LOLBins para movimentação lateral.
Os pesquisadores dizem que esse adversário baseado na China usa frequentemente a ferramenta Mimikatz para extrair credenciais da memória de processo local do Security Authority Subsystem Service (LSASS) e da seção de registro do Security Account Manager (SAM).
A Microsoft não observou o Flax Typhoon usando as credenciais roubadas para extrair dados adicionais, o que torna o principal objetivo do ator obscuro no momento.
Proteção
A Microsoft recomenda que as organizações apliquem as atualizações de segurança mais recentes a terminais expostos à Internet e servidores voltados para o público, e a autenticação multifator (MFA) deve ser habilitada em todas as contas.
Além disso, o monitoramento do registro pode ajudar a detectar tentativas de modificação e alterações não autorizadas, como as realizadas pelo Flax Typhoon para desativar o NLA.
As organizações que suspeitam de uma violação por parte desse agente de ameaça específico precisam examinar minuciosamente suas redes, pois os longos períodos de permanência do Flax Typhoon permitem comprometer várias contas e alterar a configuração do sistema para acesso de longo prazo.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/microsoft-stealthy-flax-typhoon-hackers-use-lolbins-to-evade-detection/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #microsoft: #hackers #stealthy #flax #typhoon #usam #lolbins #para #evitar #detecção
Postar um comentário