La ciberbanda APT41 no cuenta con el apoyo exclusivo del Estado chino para sus actividades de ciberespionaje. En un estudio, Microsoft detallado las acciones de otro grupo malicioso apoyado por China llamado Flax Typhoon. "Flax Typhoon obtiene y mantiene acceso a largo plazo a las redes empresariales taiwanesas con un uso mínimo de malware, basándose en herramientas integradas en el sistema operativo, así como en software normalmente inofensivo para permanecer discretamente en estas redes", explica el editor en su entrada de blog. .

Activo desde mediados de 2021, Flax Typhoon se ha dirigido a agencias gubernamentales, instituciones educativas, empresas manufactureras en sectores críticos, así como empresas de tecnología de la información con sede en Taiwán. Según la firma de Redmond, algunas víctimas también proceden del sudeste asiático, América del Norte y África. "Flax Typhoon se centra en la persistencia, el movimiento lateral y el acceso a las credenciales", dice microsoft que también advierte que las técnicas utilizadas por Flax Typhoon podrían reutilizarse fácilmente en otros lugares.

Índice
  1. Una estrategia de penetración discreta y eficaz
  2. Una gama de acciones para defenderse

Una estrategia de penetración discreta y eficaz

A diferencia de otros grupos APT que no dudan en crear herramientas personalizadas para penetrar las defensas e instalarse en las redes de las empresas objetivo, Flax Typhoon se distingue por el uso de malware y utilidades listas para usar. ventanas nativo y la clave es la atribución de estas campañas maliciosas que son más difíciles de determinar. Microsoft estableció la ruta de ataque empleada por esta ciberbanda, empezando por el acceso inicial. “Flax Typhoon obtiene acceso inicial explotando vulnerabilidades conocidas en servidores públicos. Los servicios específicos varían, pero incluyen aplicaciones VPN, web, Java y SQL. La carga útil de estos exploits es un shell web, como China Chopper, que permite la ejecución remota de código en el servidor comprometido”, explica el proveedor.

Después de haber obtenido una elevación de sus privilegios aprovechando vulnerabilidades mediante herramientas como Juicy o Bad Potato, los ciberatacantes interfieren en las entrañas del sistema de información objetivo a través de RDP. "El actor desactiva la autenticación a nivel de red (NLA) para RDP, reemplaza el binario Sticky Keys y establece una conexión VPN", dice Microsoft. "Cuando NLA está deshabilitado, cualquier usuario que intente acceder al sistema remoto puede interactuar con la pantalla de inicio de sesión de Windows antes de autenticarse, lo que puede exponer el sistema remoto a acciones maliciosas por parte del usuario que accede. Flax Typhoon modifica una clave de registro para deshabilitar NLA. permitiéndole acceder a la pantalla de inicio de sesión de Windows sin autenticarse, después de lo cual el actor usará el acceso directo de Sticky Keys. Para acceder a otros sistemas en la red comprometida, los atacantes usan LOLBins, incluida la administración remota de Windows (WinRM) y WMIC, para la red y. El escaneo de vulnerabilidades. Flax Typhoon implementa con frecuencia Mimikatz para extraer automáticamente contraseñas hash de los usuarios que iniciaron sesión en el sistema local. Estas luego se descifran fuera de línea o se usan en ataques pass-the-hash (PtH) para acceder a otros recursos en una red comprometida.

Una gama de acciones para defenderse

Existen medios para contrarrestar el tifón Flax. Empezando por una buena política de gestión de vulnerabilidades y parches, particularmente en sistemas y servicios expuestos a la Internet pública. "Las técnicas de acceso a credenciales utilizadas también pueden mitigarse mediante un refuerzo adecuado del sistema", afirma Microsoft. "Las organizaciones afectadas deben evaluar el alcance de la actividad de Flax Typhoon en su red, eliminar las herramientas maliciosas y la infraestructura C2, y verificar los registros en busca de signos de cuentas comprometidas que puedan haber sido utilizadas con fines maliciosos".

Entre otras acciones a realizar, el proveedor americano también recomienda monitorear el registro de Windows para detectar modificaciones no autorizadas, utilizar sistemas de monitoreo de red y detección de intrusiones para identificar tráfico inusual o no autorizado. También insta a garantizar que los sistemas Windows estén actualizados con los últimos parches de seguridad, incluido el MS16-075. O para mitigar el riesgo de comprometer cuentas válidas mediante la aplicación de políticas sólidas de MFA, para reducir la superficie de ataque, para reforzar el proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS), para establecer el valor de registro WDigest UseLogonCredential a través del GPO para reducir el riesgo de un volcado exitoso de la memoria del proceso LSASS...