Microsoft avverte della campagna di spionaggio con sede in Cina contro Taiwan

Microsoft ha scoperto una campagna di spionaggio informatico contro organizzazioni a Taiwan, attribuita a un gruppo di autori di minacce con sede in Cina chiamato Flax Typhoon. Secondo la società, Flax Typhoon è attivo dal 2021, prendendo di mira agenzie governative e aziende nei settori dell’istruzione, della produzione, dell’IT e di altri settori.

La campagna sfrutta le vulnerabilità dei server collegati a Internet per ottenere l’accesso iniziale alle reti target. Gli aggressori utilizzano exploit per implementare web shell, consentendo loro di eseguire comandi su sistemi compromessi da remoto. Una volta all’interno della rete, Flax Typhoon utilizza varie tecniche per stabilire un accesso persistente.

Un metodo chiave è quello di compromettere le connessioni desktop remote “disabilitando l’autenticazione a livello di rete e dirottando la funzione Sticky Keys”. Ciò consente agli aggressori di accedere ai sistemi da remoto anche dopo il riavvio. Il gruppo installa anche un software VPN per creare un tunnel nella rete per il controllo.

Flax Typhoon prende di mira la memoria del processo LSASS (Local Security Authority Subsystem Service) e l’hive del registro SAM (Security Account Manager). Entrambi gli archivi contengono password con hash per gli utenti che hanno effettuato l’accesso al sistema locale.

Flax Typhoon distribuisce spesso Mimikatz, un malware disponibile al pubblico che può scaricare automaticamente questi archivi se protetti in modo improprio. Gli hash delle password risultanti possono essere violati offline o utilizzati negli attacchi pass-the-hash (PtH) per accedere ad altre risorse sulla rete compromessa.

Dopo aver stabilito la persistenza, Flax Typhoon si concentra sul furto delle credenziali. Il gruppo enumera i punti di ripristino del sistema, probabilmente per comprendere la rete compromessa e rimuovere le tracce della loro attività. Tuttavia, Microsoft afferma di non aver osservato i progressi degli aggressori verso ulteriori obiettivi di esfiltrazione di dati.

Microsoft afferma di aver avvisato direttamente i clienti target e di aver fornito funzionalità di rilevamento tramite Microsoft 365 Defender . Tuttavia, difendersi da questa minaccia è difficile poiché il gruppo fa molto affidamento su account validi e strumenti legittimi.

La notizia arriva mentre il governo degli Stati Uniti indaga sul ruolo di Microsoft nella violazione della posta elettronica sostenuta dalla Cina . Un comitato consultivo statunitense sulla sicurezza informatica sta indagando sui potenziali rischi nel cloud computing, compreso il ruolo di Microsoft nella violazione.