ΑρχικήSecurityMicrosoft: Η ομάδα Flax Typhoon χρησιμοποιεί LOLBins για να αποφύγει την ανίχνευση

Microsoft: Η ομάδα Flax Typhoon χρησιμοποιεί LOLBins για να αποφύγει την ανίχνευση

Η Microsoft ανακάλυψε μια ομάδα hacking με το όνομα Flax Typhoon η οποία χρησιμοποιεί τεχνικές LOLBins για να αποφύγει την ανίχνευση.

Η Microsoft έχει εντοπίσει μια ομάδα hacking που ονομάζεται Flax Typhoon, η οποία επιτίθεται σε κυβερνητικούς φορείς, εκπαιδευτικά ιδρύματα, κρίσιμες βιομηχανίες κατασκευής και οργανισμούς πληροφορικής, πιθανότατα για σκοπούς κατασκοπείας.

Ο απειλητικός παράγοντας δεν επαρκεί στο malware για να αποκτήσει και να διατηρήσει πρόσβαση στο δίκτυο του θύματος και προτιμά να χρησιμοποιεί κυρίως στοιχεία που ήδη υπάρχουν στο λειτουργικό σύστημα, τα οποία ονομάζονται “living-off-the-land binaries” ή LOLBins, και νόμιμο software.

Λειτουργώντας από τον πρώτο μισό του 2021, η ομάδα Flax Typhoon επικεντρώθηκε κυρίως σε οργανισμούς στην Ταϊβάν, αν και η Microsoft ανακάλυψε μερικά θύματα στη Νοτιοανατολική Ασία, τη Βόρεια Αμερική και την Αφρική.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 11 Οκτωβρίου 2024, 18:38 18:38

Δείτε επίσης: Νέα μελέτη ρίχνει φως στο Adhubllka Ransomware Network

Εντοπίστηκαν Flax Typhoon TTPs

Στην εκστρατεία που εντόπισε η Microsoft, η ομάδα Flax Typhoon απέκτησε αρχική πρόσβαση εκμεταλλευόμενη γνωστές ευπάθειες σε δημόσια προσβάσιμους διακομιστές, συμπεριλαμβανομένων των VPN, των δικτυακών, των εφαρμογών Java και SQL.

Οι χάκερς έκαναν drop το China Chopper, ένα μικρό (4KB) αλλά ισχυρό web shell που παρέχει δυνατότητες εκτέλεσης απομακρυσμένου κώδικα.

Αν απαιτείται, οι χάκερ αυξάνουν τα προνόμιά τους σε επίπεδο διαχειριστή χρησιμοποιώντας τα δημοσίως διαθέσιμα εργαλεία ανοικτού κώδικα “Juicy Potato” και “BadPotato” που εκμεταλλεύονται γνωστές ευπάθειες για να αποκτήσουν “υψηλότερα” δικαιώματα.

Στη συνέχεια, η ομάδα Flax Typhoon διατηρεί το persistence του απενεργοποιώντας την ελέγχου ταυτότητας σε δικτυακό επίπεδο (Network-Level Authentication – NLA) μέσω τροποποιήσεων στο μητρώο και εκμεταλλευόμενο το χαρακτηριστικό της πρόσβασης Sticky Keys των Windows για να δημιουργήσει μια σύνδεση RDP (Remote Desktop Protocol).

Για να παρακάμψει τους περιορισμούς συνδεσιμότητας RDP προς το εσωτερικό δίκτυο, η ομάδα Flax Typhoon εγκαθιστά έναν νόμιμο VPN (virtual private network) bridge για να διατηρήσει τη σύνδεση μεταξύ του παραβιασμένου συστήματος και του εξωτερικού τους διακομιστή.

Οι χάκερ πραγματοποιούν λήψη του ανοιχτού κώδικα SoftEther VPN client χρησιμοποιώντας LOLBins όπως το βοηθητικό πρόγραμμα PowerShell Invoke-WebRequest, το certutil ή το bitsadmin και κάνουν κατάχρηση διαφόρων ενσωματωμένων εργαλείων των Windows για να ρυθμίσουν την αυτόματη εκκίνηση της εφαρμογής VPN κατά την εκκίνηση του συστήματος.

Για να ελαχιστοποιήσουν τον κίνδυνο ανίχνευσης, οι επιτιθέμενοι το μετονομάζουν σε ‘conhost.exe’ ή ‘dllhost.exe’, προσδίδοντάς του την εμφάνιση μιας νόμιμης συνιστώσας των Windows.

Επιπλέον, η ομάδα Flax Typhoon χρησιμοποιεί τη λειτουργία VPN-over-HTTPS του SoftEther για να αποκρύψει την κίνηση του VPN ως κανονική κίνηση HTTPS.

Η Microsoft αναφέρει ότι οι χάκερ χρησιμοποιούν το Windows Remote Management (WinRM), το WMIC και άλλα LOLBins για την πλευρική μετακίνηση.

Οι ερευνητές αναφέρουν ότι αυτός ο adversary που εδρεύει στην Κίνα χρησιμοποιεί συχνά το εργαλείο Mimikatz για να εξάγει credentials από τη Security Authority Subsystem Service (LSASS) και τη μονάδα καταχώρησης λογαριασμών ασφάλειας (SAM) του μητρώου.

Η Microsoft δεν παρατήρησε τη χρήση των κλεμμένων διαπιστευτηρίων από την ομάδα Flax Typhoon για να εξάγει επιπλέον δεδομένα, γεγονός που καθιστά ασαφές τον κύριο στόχο του δράστη προς το παρόν.

Δείτε επίσης: Η συμμορία ransomware Rhysida ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην Prospect Medical Holdings

Προστασία

Η Microsoft συνιστά στις οργανώσεις να εφαρμόζουν τις πιο πρόσφατες ενημερώσεις ασφαλείας σε διαδικτυακές ενδιάμεσες συσκευές και δημόσιους servers, ενώ το multi-factor authentication (MFA) θα πρέπει να είναι ενεργοποιημένο σε όλους τους λογαριασμούς.

Επιπλέον, η παρακολούθηση του μητρώου θα μπορούσε να βοηθήσει στην ανίχνευση προσπαθειών τροποποίησης και μη εξουσιοδοτημένων αλλαγών, όπως αυτές που πραγματοποιήθηκαν από την Flax Typhoon για την απενεργοποίηση του NLA.

Οι οργανισμοί που υποψιάζονται παραβίαση από αυτόν τον συγκεκριμένο απειλητικό παράγοντα πρέπει να εξετάσουν διεξοδικά τα δίκτυά τους, καθώς οι μεγάλες περίοδοι παραμονής της ομάδας Flax Typhoon επιτρέπουν την παραβίαση πολλών λογαριασμών και την αλλαγή της διαμόρφωσης του συστήματος για μακροπρόθεσμη πρόσβαση.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS