Microsoft ha scoperto un attacco informatico contro diverse organizzazioni di Taiwan. Gli autori sono i cybercriminali del gruppo Flax Typhoon, finanziati dal governo cinese. Utilizzando tool legittimi di Windows sono riusciti ad entrare nelle reti ed eseguire varie attività a scopo di spionaggio. L’azienda di Redmond sottolinea che simili attacchi sono difficili da rilevare e bloccare.
Cyberspionaggio cinese contro aziende taiwanesi
Flax Typhoon è in attività da metà 2021. I target principali sono le organizzazioni governative e le aziende che operano nei settori IT, education e manifatturiero. Durante gli attacchi, i cybercriminali utilizzano diversi tool di Windows, una tecnica nota living-off-the-land binaries (LOLBins) che rende più difficile la rilevazione della minaccia.
L’accesso iniziale avviene sfruttando note vulnerabilità nei server e delle applicazioni installate, tra cui VPN, Java e SQL. Viene quindi installata una web shell, come China Chopper, per consentire l’esecuzione di codice remoto. Se il processo compromesso non ha privilegi elevati, i cybercriminali effettuano l’escalation con vari malware e tool, come Juicy Potato e Bad Potato.
La persistenza viene ottenuta usando RDP (Remote Desktop Protocol), dopo aver disattivato la NLA (Network Level Authentication) cambiando una chiave di registro. Ciò permette di interagire con la scherma di login di Windows senza autenticazione. La connessione all’infrastruttura controllata dai cybercriminali avviene tramite bridge VPN.
L’installazione di SoftEther VPN viene effettuata con vari tool di Windows, tra cui PowerShell, certutil e bitsadmin. Per il movimento laterale (accesso ad altri sistemi connessi alla rete) vengono utilizzati Windows Remote Management (WinRM) e WMIC (Windows Management Instrumentation Command-line).
Infine, Flax Typhoon istalla Mimikatz per effettuare il dumping dei registri di Local Security Authority Subsystem Service (LSASS) e Security Account Manager (SAM). Microsoft non ha tuttavia rilevato nessuna raccolta e furto di dati.