Flax Typhoon: cyberattacco cinese a Taiwan
Topic
Approfondimenti
Trending
tutti

Flax Typhoon: cyberattacco cinese a Taiwan

Il gruppo cinese Flax Typhoon ha effettuato attacchi di spionaggio contro aziende taiwanesi sfruttando tool legittimi, tra cui quelli di Windows.
Flax Typhoon: cyberattacco cinese a Taiwan
Sicurezza Antivirus
Il gruppo cinese Flax Typhoon ha effettuato attacchi di spionaggio contro aziende taiwanesi sfruttando tool legittimi, tra cui quelli di Windows.
Bing Image Creator

Microsoft ha scoperto un attacco informatico contro diverse organizzazioni di Taiwan. Gli autori sono i cybercriminali del gruppo Flax Typhoon, finanziati dal governo cinese. Utilizzando tool legittimi di Windows sono riusciti ad entrare nelle reti ed eseguire varie attività a scopo di spionaggio. L’azienda di Redmond sottolinea che simili attacchi sono difficili da rilevare e bloccare.

Cyberspionaggio cinese contro aziende taiwanesi

Flax Typhoon è in attività da metà 2021. I target principali sono le organizzazioni governative e le aziende che operano nei settori IT, education e manifatturiero. Durante gli attacchi, i cybercriminali utilizzano diversi tool di Windows, una tecnica nota living-off-the-land binaries (LOLBins) che rende più difficile la rilevazione della minaccia.

L’accesso iniziale avviene sfruttando note vulnerabilità nei server e delle applicazioni installate, tra cui VPN, Java e SQL. Viene quindi installata una web shell, come China Chopper, per consentire l’esecuzione di codice remoto. Se il processo compromesso non ha privilegi elevati, i cybercriminali effettuano l’escalation con vari malware e tool, come Juicy Potato e Bad Potato.

La persistenza viene ottenuta usando RDP (Remote Desktop Protocol), dopo aver disattivato la NLA (Network Level Authentication) cambiando una chiave di registro. Ciò permette di interagire con la scherma di login di Windows senza autenticazione. La connessione all’infrastruttura controllata dai cybercriminali avviene tramite bridge VPN.

L’installazione di SoftEther VPN viene effettuata con vari tool di Windows, tra cui PowerShell, certutil e bitsadmin. Per il movimento laterale (accesso ad altri sistemi connessi alla rete) vengono utilizzati Windows Remote Management (WinRM) e WMIC (Windows Management Instrumentation Command-line).

Infine, Flax Typhoon istalla Mimikatz per effettuare il dumping dei registri di Local Security Authority Subsystem Service (LSASS) e Security Account Manager (SAM). Microsoft non ha tuttavia rilevato nessuna raccolta e furto di dati.

Fonte: Microsoft

Pubblicato il 25 ago 2023

Link copiato negli appunti

Ti potrebbe interessare

Proteggi i tuoi dati personali con questo tool incredibile e sicuro

Proteggi i tuoi dati personali con questo tool incredibile e sicuro
Internet in sicurezza (anche con VPN) da 2 €/mese scegliendo Kaspersky

Internet in sicurezza (anche con VPN) da 2 €/mese scegliendo Kaspersky
Antivirus, VPN e molto altro: tutto a meno di 4 €/mese con Norton

Antivirus, VPN e molto altro: tutto a meno di 4 €/mese con Norton
Avast Premium Security: proteggi 10 device a meno di 50€/anno

Avast Premium Security: proteggi 10 device a meno di 50€/anno
Proteggi i tuoi dati personali con questo tool incredibile e sicuro

Proteggi i tuoi dati personali con questo tool incredibile e sicuro
Internet in sicurezza (anche con VPN) da 2 €/mese scegliendo Kaspersky

Internet in sicurezza (anche con VPN) da 2 €/mese scegliendo Kaspersky
Antivirus, VPN e molto altro: tutto a meno di 4 €/mese con Norton

Antivirus, VPN e molto altro: tutto a meno di 4 €/mese con Norton
Avast Premium Security: proteggi 10 device a meno di 50€/anno

Avast Premium Security: proteggi 10 device a meno di 50€/anno
Luca Colantuoni
Pubblicato il
25 ago 2023
Link copiato negli appunti