Корпорация Microsoft выявила государственную группу Flax Typhoon, базирующуюся в Китае, которая атакует десятки организаций на Тайване с вероятным намерением осуществлять шпионаж. Flax Typhoon получает и поддерживает долгосрочный доступ к сетям тайваньских организаций с минимальным использованием вредоносного ПО, полагаясь на встроенные в операционную систему средства, а также на некоторые обычно небезопасные программы, чтобы незаметно оставаться в этих сетях.
Microsoft не наблюдала, чтобы Flax Typhoon использовал этот доступ для совершения дополнительных действий.
Flax Typhoon APT
Тайфун Flax действует с середины 2021 г., его жертвами стали государственные учреждения и учебные заведения, критически важные производственные и информационно-технологические организации на Тайване. Некоторые жертвы были замечены и в других регионах Юго-Восточной Азии, а также в Северной Америке и Африке. Flax Typhoon ориентирована на стойкость, латеральное перемещение и доступ к учетным данным. Как и в случае с любыми другими замеченными действиями государственных агентов, компания Microsoft напрямую уведомила о них своих клиентов, предоставив им важную информацию, необходимую для обеспечения безопасности их сред.
Известно, что Flax Typhoon использует веб-оболочку China Chopper, Metasploit, инструмент повышения привилегий Juicy Potato, Mimikatz и клиент виртуальной частной сети (VPN) SoftEther. Однако в первую очередь Flax Typhoon полагается на "живые" методы и работу с клавиатурой. Первоначальный доступ Flax Typhoon получает путем использования известных уязвимостей в публичных серверах и развертывания веб-оболочек типа China Chopper. После получения первоначального доступа Flax Typhoon использует инструменты командной строки для установления постоянного доступа по протоколу удаленного рабочего стола, затем разворачивает VPN-соединение с сетевой инфраструктурой, контролируемой злоумышленниками, и, наконец, собирает учетные данные со взломанных систем. Далее Flax Typhoon использует этот VPN-доступ для сканирования уязвимостей на целевых системах и организациях со скомпрометированных систем.
Indicators of Compromise
IPv4
- 101.33.205.106
- 104.238.149.146
- 122.10.89.230
- 134.122.188.20
- 139.180.158.51
- 154.19.187.92
- 192.253.235.107
- 39.98.208.61
- 45.195.149.224
- 45.204.1.247
- 45.204.1.248
- 45.88.192.118
Domains
- asljkdqhkhasdq.softether.net
- vpn437972693.sednc.cn
- vpn472462384.softether.net
SHA-1 TLS fingerprint
- 2c95b971aa47dc4d94a3c52db74a3de11d9ba658
- 5437d0195c31bf7cedc9d90b8cb0074272bc55df
- 7992c0a816246b287d991c4ecf68f2d32e4bca18
- cc1f0cdc131dfafd43f60ff0e6a6089cd03e92f1