マイクロソフト、台湾を標的とした中国拠点のスパイ活動を警告

Microsoft は、Flax タイフーンと呼ばれる中国を拠点とする攻撃者グループによる、台湾の組織を標的としたサイバースパイ活動を発見しました。同社によると、Flax タイフーンは2021年から政府機関や教育、製造、ITなどの分野の企業をターゲットに活動している。

このキャンペーンは、インターネットに接続されたサーバーの脆弱性を悪用して、ターゲット ネットワークへの初期アクセスを取得します。攻撃者はエクスプロイトを使用して Web シェルを展開し、侵害されたシステム上でリモートからコマンドを実行できるようにします。Flax タイフーンはネットワーク内に入ると、さまざまな技術を使用して永続的なアクセスを確立します。

主な方法は、「ネットワーク レベルの認証を無効にし、スティッキー キー機能をハイジャックする」ことでリモート デスクトップ接続を侵害することです。これにより、攻撃者は再起動後でもシステムにリモート アクセスできます。このグループは、制御のためにネットワークへのトンネルを作成するための VPN ソフトウェアもインストールしています。

Flax タイフーンは、ローカル セキュリティ機関サブシステム サービス (LSASS) プロセス メモリとセキュリティ アカウント マネージャー (SAM) レジストリ ハイブを標的とします。どちらのストアにも、ローカル システムにサインインしているユーザーのハッシュ化されたパスワードが含まれています。

Flax タイフーンは、不適切に保護された場合にこれらのストアを自動的にダンプする可能性がある公的に入手可能なマルウェアである Mimikatz を頻繁に展開します。結果として得られるパスワード ハッシュは、オフラインで解読されたり、パス ザ ハッシュ (PtH) 攻撃に使用され、侵害されたネットワーク上の他のリソースにアクセスしたりする可能性があります。

Flax タイフーンは永続性を確立した後、認証情報の窃取に重点を置きます。このグループはシステムの復元ポイントを列挙し、侵害されたネットワークを把握し、その活動の痕跡を削除する可能性があります。ただし、Microsoft は、攻撃者がさらなるデータ漏洩の目的に向かって進んでいることを観察していないと述べています。

Microsoft は、対象となる顧客に直接通知し、 Microsoft 365 Defenderを通じて検出機能を提供したと述べています。ただし、このグループは有効なアカウントと正規のツールに大きく依存しているため、この脅威に対する防御は困難です。

このニュースは、米国政府が中国支援による電子メール侵害におけるマイクロソフトの役割を調査している中で発表された。米国のサイバーセキュリティ諮問委員会は、違反におけるマイクロソフトの役割を含め、クラウドコンピューティングにおける潜在的なリスクを調査している。