Flax Typhoon APT IOCs

security IOC
Опубликовано

Корпорация Microsoft выявила государственную группу Flax Typhoon, базирующуюся в Китае, которая атакует десятки организаций на Тайване с вероятным намерением осуществлять шпионаж. Flax Typhoon получает и поддерживает долгосрочный доступ к сетям тайваньских организаций с минимальным использованием вредоносного ПО, полагаясь на встроенные в операционную систему средства, а также на некоторые обычно небезопасные программы, чтобы незаметно оставаться в этих сетях.

Microsoft не наблюдала, чтобы Flax Typhoon использовал этот доступ для совершения дополнительных действий.

Flax Typhoon APT

Тайфун Flax действует с середины 2021 г., его жертвами стали государственные учреждения и учебные заведения, критически важные производственные и информационно-технологические организации на Тайване. Некоторые жертвы были замечены и в других регионах Юго-Восточной Азии, а также в Северной Америке и Африке. Flax Typhoon ориентирована на стойкость, латеральное перемещение и доступ к учетным данным. Как и в случае с любыми другими замеченными действиями государственных агентов, компания Microsoft напрямую уведомила о них своих клиентов, предоставив им важную информацию, необходимую для обеспечения безопасности их сред.

Известно, что Flax Typhoon использует веб-оболочку China Chopper, Metasploit, инструмент повышения привилегий Juicy Potato, Mimikatz и клиент виртуальной частной сети (VPN) SoftEther. Однако в первую очередь Flax Typhoon полагается на "живые" методы и работу с клавиатурой. Первоначальный доступ Flax Typhoon получает путем использования известных уязвимостей в публичных серверах и развертывания веб-оболочек типа China Chopper. После получения первоначального доступа Flax Typhoon использует инструменты командной строки для установления постоянного доступа по протоколу удаленного рабочего стола, затем разворачивает VPN-соединение с сетевой инфраструктурой, контролируемой злоумышленниками, и, наконец, собирает учетные данные со взломанных систем. Далее Flax Typhoon использует этот VPN-доступ для сканирования уязвимостей на целевых системах и организациях со скомпрометированных систем.

Indicators of Compromise

IPv4

  • 101.33.205.106
  • 104.238.149.146
  • 122.10.89.230
  • 134.122.188.20
  • 139.180.158.51
  • 154.19.187.92
  • 192.253.235.107
  • 39.98.208.61
  • 45.195.149.224
  • 45.204.1.247
  • 45.204.1.248
  • 45.88.192.118

Domains

  • asljkdqhkhasdq.softether.net
  • vpn437972693.sednc.cn
  • vpn472462384.softether.net

SHA-1 TLS fingerprint

  • 2c95b971aa47dc4d94a3c52db74a3de11d9ba658
  • 5437d0195c31bf7cedc9d90b8cb0074272bc55df
  • 7992c0a816246b287d991c4ecf68f2d32e4bca18
  • cc1f0cdc131dfafd43f60ff0e6a6089cd03e92f1
Похожие записи:
  1. ZINC APT IOCs
  2. BlackCat (BlackMatter) APT IOC
  3. Tarrask Malware IOC
  4. ZLoader Trojan IOC
  5. TraderTraitor APT IOCs
APT Flax Typhoon Microsoft
SEC-1275-1
Добавить комментарий