Microsoft a identifié un nouveau groupe de piratage qu’il suit désormais sous le nom de Flax Typhoon et qui cible les agences gouvernementales et les organisations d’éducation, de fabrication critique et de technologie de l’information, probablement à des fins d’espionnage.
L’auteur de la menace ne s’appuie pas beaucoup sur les logiciels malveillants pour obtenir et maintenir l’accès au réseau de la victime et préfère utiliser principalement des composants déjà disponibles sur le système d’exploitation, ce qu’on appelle les binaires vivant de la terre ou LOLBins, et des logiciels légitimes.
Opérant depuis au moins mi-2021, Flax Typhoon ciblait principalement des organisations à Taïwan, bien que Microsoft ait découvert quelques victimes en Asie du Sud-Est, en Amérique du Nord et en Afrique.
TTP observés lors du typhon Lin
Dans la campagne observée par Microsoft, Flax Typhoon a obtenu un premier accès en exploitant les vulnérabilités connues des serveurs publics, notamment les applications VPN, Web, Java et SQL.
Les pirates ont abandonné China Chopper, un shell Web petit (4 Ko) mais puissant qui offre des capacités d’exécution de code à distance.
Si nécessaire, les pirates élèvent leurs privilèges au niveau administrateur en utilisant les outils open source « Juicy Potato » et « BadPotato » accessibles au public qui exploitent les vulnérabilités connues pour obtenir des autorisations plus élevées.
Ensuite, Flax Typhoon établit la persistance en désactivant l’authentification au niveau du réseau (NLA) via des modifications du registre et en exploitant la fonctionnalité d’accessibilité Windows Sticky Keys pour configurer une connexion RDP (Remote Desktop Protocol).
« Flax Typhoon peut accéder au système compromis via RDP, utiliser le raccourci Sticky Keys sur l’écran de connexion et accéder au Gestionnaire des tâches avec les privilèges du système local », explique Microsoft.
« À partir de là, l’acteur peut lancer le terminal, créer des vidages de mémoire et entreprendre presque toutes les autres actions sur le système compromis. »
Pour contourner les restrictions de connectivité RDP du RDP au réseau interne, Flax Typhoon installe un pont VPN (réseau privé virtuel) légitime pour maintenir le lien entre le système compromis et son serveur externe.
Les pirates téléchargent le client VPN open source SoftEther à l’aide de LOLBins comme l’utilitaire PowerShell Invoke-WebRequest, certutil ou bitsadmin, et abusent de divers outils Windows intégrés pour configurer l’application VPN pour qu’elle se lance automatiquement au démarrage du système.
Pour minimiser le risque de détection, les attaquants le renomment « conhost.exe » ou « dllhost.exe », le masquant ainsi comme un composant Windows légitime.
De plus, Flax Typhoon utilise le mode VPN sur HTTPS de SoftEther pour masquer le trafic VPN en tant que trafic HTTPS standard.
Microsoft affirme que les pirates utilisent Windows Remote Management (WinRM), WMIC et d’autres LOLBins pour les mouvements latéraux.
Les chercheurs affirment que cet adversaire basé en Chine utilise fréquemment l’outil Mimikatz pour extraire les informations d’identification de la mémoire du processus local Security Authority Subsystem Service (LSASS) et de la ruche de registre Security Account Manager (SAM).
Microsoft n’a pas observé Flax Typhoon utilisant les informations d’identification volées pour extraire des données supplémentaires, ce qui rend l’objectif principal de l’acteur flou pour le moment.
protection
Microsoft recommande aux organisations d’appliquer les dernières mises à jour de sécurité aux points de terminaison exposés à Internet et aux serveurs publics, et l’authentification multifacteur (MFA) doit être activée sur tous les comptes.
De plus, la surveillance du registre pourrait aider à détecter les tentatives de modification et les changements non autorisés comme ceux effectués par Flax Typhoon pour désactiver NLA.
Les organisations qui soupçonnent une violation de la part de cet acteur malveillant particulier doivent examiner minutieusement leurs réseaux, car les longues périodes de présence de Flax Typhoon permettent de compromettre plusieurs comptes et de modifier la configuration du système pour un accès à long terme.