Microsoft warnt vor einer von China ausgehenden Spionagekampagne gegen Taiwan

Microsoft entdeckte eine Cyberspionagekampagne gegen Organisationen in Taiwan, die einer in China ansässigen Bedrohungsgruppe namens Flax Typhoon zugeschrieben wird. Nach Angaben des Unternehmens ist Flax Typhoon seit 2021 aktiv und zielt auf Regierungsbehörden und Unternehmen in den Bereichen Bildung, Fertigung, IT und anderen Sektoren ab.

Die Kampagne nutzt Schwachstellen in mit dem Internet verbundenen Servern aus, um ersten Zugriff auf Zielnetzwerke zu erhalten. Die Angreifer nutzen Exploits, um Web-Shells einzusetzen, die es ihnen ermöglichen, aus der Ferne Befehle auf kompromittierten Systemen auszuführen. Sobald Flax Typhoon im Netzwerk ist, nutzt es verschiedene Techniken, um einen dauerhaften Zugriff herzustellen.

Eine Schlüsselmethode besteht darin, Remote-Desktop-Verbindungen zu kompromittieren, indem „die Authentifizierung auf Netzwerkebene deaktiviert und die Sticky-Keys-Funktion gekapert wird“. Dies ermöglicht es den Angreifern, auch nach dem Neustart aus der Ferne auf Systeme zuzugreifen. Die Gruppe installiert außerdem VPN-Software, um zur Kontrolle einen Tunnel in das Netzwerk zu erstellen.

Flax Typhoon zielt auf den Prozessspeicher des Local Security Authority Subsystem Service (LSASS) und die Registrierungsstruktur des Security Account Managers (SAM) ab. Beide Stores enthalten gehashte Passwörter für Benutzer, die im lokalen System angemeldet sind.

Flax Typhoon setzt häufig Mimikatz ein, eine öffentlich verfügbare Malware, die diese Speicher bei unsachgemäßer Sicherung automatisch löschen kann. Die resultierenden Passwort-Hashes können offline geknackt oder in Pass-the-Hash-Angriffen (PtH) verwendet werden, um auf andere Ressourcen im kompromittierten Netzwerk zuzugreifen.

Nachdem die Persistenz hergestellt wurde, konzentriert sich Flax Typhoon auf den Diebstahl von Anmeldeinformationen. Die Gruppe zählt Systemwiederherstellungspunkte auf, um das kompromittierte Netzwerk zu verstehen und Spuren ihrer Aktivität zu entfernen. Allerdings gibt Microsoft an, dass sie die Fortschritte der Angreifer bei der Erreichung weiterer Datenexfiltrationsziele nicht beobachtet haben.

Microsoft gibt an, gezielte Kunden direkt benachrichtigt und über Microsoft 365 Defender Erkennungsfunktionen bereitgestellt zu haben . Der Schutz vor dieser Bedrohung ist jedoch eine Herausforderung, da die Gruppe stark auf gültige Konten und legitime Tools angewiesen ist.

Die Nachricht kommt, während die US-Regierung die Rolle von Microsoft bei dem von China unterstützten E-Mail-Verstoß untersucht . Ein US-amerikanisches Beratungsgremium für Cybersicherheit untersucht potenzielle Risiken im Cloud Computing, einschließlich der Rolle von Microsoft bei dem Verstoß.