Un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldado por China, denominado Flax Typhoon, ha instalado una red de infecciones persistentes y de largo plazo dentro de docenas de organizaciones taiwanesas, probablemente para llevar a cabo una extensa campaña de ciberespionaje, y lo hizo utilizando solo cantidades mínimas de malware.
Según Microsoft, el grupo de ciberataques patrocinado por el estado, utilizando herramientas LOLBas y utilidades legítimas integradas en el sistema operativo Windows para llevar a cabo una operación extremadamente sigilosa y persistente.
Por ahora, la mayoría de las víctimas de Flax Typhoon se concentran en Taiwán, según una advertencia sobre Flax Typhoon de Microsoft esta semana. El gigante informático no divulga el alcance de los ataques, pero señaló que las empresas fuera de Taiwán deberían estar alerta.
La campaña está "utilizando técnicas que podrían reutilizarse fácilmente en otras operaciones fuera de la región", advirtió. Y, de hecho, en el pasado, la amenaza del Estado-Nación se ha dirigido a una amplia gama de industrias (incluidas agencias gubernamentales y educación, manufactura crítica y tecnología de la información) en todo el sudeste asiático, así como en América del Norte y África.
Será difícil evaluar el alcance total de los daños de las infecciones, dado que "detectar y mitigar este ataque podría ser un desafío", advirtió Microsoft. "Las cuentas comprometidas deben cerrarse o modificarse. Los sistemas comprometidos deben aislarse e investigarse".
Living off the Land y el malware básico
A diferencia de muchos otros APT que se destacan en la creación y evolución de arsenales específicos de herramientas de ciberataque personalizadas, Flax Typhoon prefiere tomar una ruta menos identificable mediante el uso de malware disponible en el mercado y utilidades nativas de Windows (también conocidas como binarios tipo LOLbins) que son más difíciles de utilizar para la atribución.
Su rutina de infección en la última serie de ataques observados por Microsoft es la siguiente:
- Acceso inicial: esto se logra explotando vulnerabilidades conocidas en aplicaciones VPN, web, Java y SQL de acceso público para implementar el webshell China Chopper, que permite la ejecución remota de código en el servidor comprometido.
- Escalamiento de privilegios: si es necesario, Flax Typhoon utiliza Juicy Potato, BadPotato y otras herramientas de código abierto para explotar las vulnerabilidades de escalada de privilegios locales.
- Establecimiento de acceso remoto: Flax Typhoon utiliza la línea de comandos del Instrumental de administración de Windows (WMIC) (o PowerShell, o la Terminal de Windows con privilegios de administrador local) para deshabilitar la autenticación a nivel de red (NLA) para el Protocolo de escritorio remoto (RDP). Esto permite a Flax Typhoon acceder a la pantalla de inicio de sesión de Windows sin autenticarse y, desde allí, usar la función de accesibilidad Sticky Keys en Windows para iniciar el Administrador de tareas con privilegios del sistema local. Luego, los atacantes instalan un puente VPN legítimo para conectarse automáticamente a la infraestructura de red controlada por el actor.
- Persistencia: Flax Typhoon utiliza el Administrador de control de servicios (SCM) para crear un servicio de Windows que inicia la conexión VPN automáticamente cuando se inicia el sistema, lo que permite al actor monitorear la disponibilidad del sistema comprometido y establecer una conexión RDP.
- Movimiento lateral: para acceder a otros sistemas en la red comprometida, el actor utiliza otros LOLBins, incluida la administración remota de Windows (WinRM) y WMIC, para realizar escaneos de redes y vulnerabilidades.
- Acceso a credenciales: Flax Typhoon implementa con frecuencia Mimikatz para volcar automáticamente contraseñas hash para los usuarios que iniciaron sesión en el sistema local. Los hash de contraseña resultantes se pueden descifrar fuera de línea o usarse en ataques Pass-the-Hash (PtH) para acceder a otros recursos en la red comprometida.
Curiosamente, la APT parece estar esperando el momento oportuno cuando se trata de ejecutar un final, aunque el objetivo probable es la filtración de datos (en lugar de los posibles resultados cinéticos que Microsoft señaló recientemente para la actividad Volt Typhoon patrocinada por China).
"Este patrón de actividad es inusual porque ocurre una actividad mínima después de que el actor establece persistencia", según el análisis de Microsoft. "Las actividades de descubrimiento y acceso a credenciales de Flax Typhoon no parecen permitir mayores objetivos de recopilación y exfiltración de datos. Si bien el comportamiento observado del actor sugiere que Flax Typhoon intenta realizar espionaje y mantener sus puntos de apoyo en la red, Microsoft no ha observado que Flax Typhoon actúe sobre los objetivos finales. en esta campaña".
Protección contra el compromiso
En su publicación, Microsoft ofrece una serie de pasos a seguir si las organizaciones se ven comprometidas y necesitan evaluar el escalamiento de la actividad de Flax Typhoon dentro de sus redes y remediar una infección. Para evitar la situación por completo, las organizaciones deben asegurarse de que todos los servidores públicos estén parcheados y actualizados, y que tengan monitoreo y seguridad adicionales, como validación de entradas de usuarios, monitoreo de integridad de archivos, monitoreo de comportamiento y firewalls de aplicaciones web.
Los administradores también pueden monitorear el registro de Windows en busca de cambios no autorizados; monitorear cualquier tráfico RDP que pueda considerarse no autorizado; y reforzar la seguridad de la cuenta con autenticación multifactor y otras precauciones.
Fuente: DarkReading