ไมโครซอฟต์ : แฮ็กเกอร์ Stealthy Flax Typhoon ใช้ LOLBins เพื่อหลีกเลี่ยงการตรวจจับ

Microsoft Stealthy Flax Typhoon hackers use LOLBins to evade detection

ไมโครซอฟต์ได้ระบุกลุ่มแฮ็กใหม่ที่ติดตามอยู่ในขณะนี้ว่าเป็นกลุ่ม Flax Typhoon ที่มุ่งเป้าไปที่หน่วยงานภาครัฐและการศึกษา การผลิตที่สำคัญและองค์กรเทคโนโลยีสารสนเทศซึ่งมีแนวโน้มว่าจะทำเพื่อขโมยข้อมูลจากคู่แข่ง

ตัวดำเนินการภัยคุกคามไม่ได้อาศัยมัลแวร์มากนักในการเข้าถึงเครือข่ายเหยื่อและต้องการใช้องค์ประกอบส่วนใหญ่ที่มีอยู่แล้วในระบบปฏิบัติการไบนารีแบบ living-of-the-land หรือ LOLBins และซอฟต์แวร์ที่ถูกกฎหมาย

Flax Typhoon เริ่มดำเนินการตั้งแต่กลางปี 2021 โดยมุ่งเป้าไปที่องค์กรต่างๆ ในไต้หวันเป็นหลัก แม้ว่า Microsoft จะค้นพบเหยื่อบางรายในเอเชียตะวันออกเฉียงใต้ อเมริกาเหนือ และแอฟริกาก็ตาม

Flax Typhoon TTPs ที่สังเกตได้

แคมเปญที่ไมโครซอฟต์สังเกตเห็น Flax Typhoon ได้รับการเข้าถึงครั้งแรกโดยใช้ประโยชน์จากช่องโหว่ที่เจอในเซิร์ฟเวอร์สาธารณะ รวมถึงแอปพลิเคชัน VPN เว็บ Java และ SQL

แฮกเกอร์ทิ้ง China Chopperไว้ ซึ่งเป็นเว็บเชลล์ขนาดเล็ก (4KB) แต่มีประสิทธิภาพสามารถประมวลผลโค้ดจากทางไกล

หากมีความจำเป็นแฮ็กเกอร์จะยกระดับสิทธิของพวกเขาไปสู่ระดับผู้ดูแลระบบโดยใช้เครื่องมือโอเพ่นซอร์ส 'Juicy Potato' และ 'BadPotato' ที่เปิดเผยต่อสาธารณะ ซึ่งใช้ประโยชน์จากช่องโหว่ที่ทราบเพื่อให้ได้รับสิทธิ์ที่สูงขึ้น

ต่อมา Flax Typhoon จะสร้างความคงทนถาวรด้วยการปิดการตรวจสอบสิทธิ์ระดับเครือข่าย (NLA) ผ่านการแก้ไขลงทะเบียน

และใช้ประโยชน์จากคุณสมบัติการเข้าถึง Windows Sticky Keys เพื่อตั้งค่าการเชื่อมต่อ RDP (Remote Desktop Protocol) และใช้ประโยชน์จากคุณสมบัติการเข้าถึง Windows Sticky Keys เพื่อตั้งค่าการเชื่อมต่อ RDP (Remote Desktop Protocol)

“Flax Typhoon สามารถเข้าถึงระบบที่ได้รับความเสียหายผ่าน RDP ซึ่งใช้ปุ่มลัด Sticky Keys ที่หน้าจอการลงชื่อเข้าใช้และเข้าถึง Task Manager ด้วยสิทธิ์ของระบบภายใน” ไมโครซอฟท์อธิบาย

“จากนั้น สามารถเปิดตัวเทอร์มินัล สร้างการถ่ายโอนข้อมูลหน่วยความจำ และดำเนินการเกือบทุกอย่างในระบบที่ได้รับความเสียหาย”

เพื่อหลีกเลี่ยงข้อจำกัดในการเชื่อมต่อ RDP ของ RDP ไปยังเครือข่ายภายใน Flax Typhoon จะติดตั้งบริดจ์ VPN (เครือข่ายส่วนตัวเสมือน) ที่ถูกกฎหมายเพื่อรักษาการเชื่อมโยงระหว่างระบบที่ได้รับความเสียหายกับเซิร์ฟเวอร์ภายนอก

แฮ็กเกอร์ดาวน์โหลดไคลเอนต์ SoftEther VPN แบบโอเพ่นซอร์สโดยใช้ LOLBins เช่น PowerShell Invoke-WebRequest utility, certutil หรือ bitadmin และใช้เครื่องมือ Windowsส์ แบบบูรณาการต่างๆ เพื่อตั้งค่าแอป VPN ให้เปิดโดยอัตโนมัติเมื่อเริ่มต้นระบบ

เพื่อลดความเสี่ยงในการตรวจจับเจอ ผู้โจมตีจึงเปลี่ยนชื่อเป็น 'conhost.exe' หรือ 'dllhost.exe' เพื่อปกปิดทำเหมือนว่าเป็นส่วนประกอบของ Windows ที่ถูกกฎหมาย

นอกจากนี้ Flax Typhoon ยังใช้โหมด VPN-over-HTTPS ของ SoftEther เพื่อปกปิดการรับส่งข้อมูล VPN เหมือนกับการรับส่งข้อมูล HTTPS ตามมาตรฐาน

ไมโครซอฟต์กล่าวว่าแฮกเกอร์ใช้ Windows Remote Management (WinRM) WMIC และ LOLBins อื่นๆ สำหรับการเคลื่อนไหว

นักวิจัยกล่าวว่า ฝ่ายศัตรูที่อยู่ในประเทศจีนนี้มักจะใช้เครื่องมือ Mimikatz เพื่อดึงข้อมูลรับรองตัวตนจากหน่วยความจำกระบวนการ Security Authority Subsystem Service ocal (LSASS) และกลุ่มลงทะเบียน Security Account Manager (SAM).

ไมโครซอฟต์ไม่ได้สังเกตการณ์ Flax Typhoon โดยใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อดึงข้อมูลเพิ่มเติม ซึ่งทำให้เป้าหมายหลักของนักแสดงไม่ชัดเจนในขณะนี้

การป้องกัน

Microsoft แนะนำให้องค์กรต่างๆ ใช้การอัปเดตความปลอดภัยล่าสุดกับปลายทางที่เปิดเผยต่ออินเทอร์เน็ตและเซิร์ฟเวอร์สาธารณะ และควรเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายขั้น (MFA) ในทุกบัญชีด้วย

นอกจากนี้ การตรวจสอบการลงทะเบียนสามารถช่วยจับความพยายามในการแก้ไขและการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตเช่นเดียวกับที่ดำเนินการโดย Flax Typhoon เพื่อปิดใช้งาน NLA

องค์กรที่สงสัยว่ามีการละเมิดจากผู้ก่อภัยคุกคามรายนี้จำเป็นต้องตรวจสอบเครือข่ายของตนอย่างละเอียด เนื่องจากระยะเวลาที่ Flax Typhoon ค้างอยู่นานนี้ทำให้เกิดความเสียหายต่อหลายบัญชีและเปลี่ยนแปลงการกำหนดค่าระบบเพื่อการเข้าถึงในระยะยาว

ที่มา : https://bit.ly/3Zw3kX5