Microsoft waarschuwt voor een Chinese spionagecampagne gericht op Taiwan

Microsoft ontdekte een cyberspionagecampagne gericht op organisaties in Taiwan, toegeschreven aan een in China gevestigde dreigingsgroep genaamd Flax Typhoon. Volgens het bedrijf is Flax Typhoon sinds 2021 actief en richt zich op overheidsinstanties en bedrijven in het onderwijs, de productie, de IT en andere sectoren.

De campagne maakt gebruik van kwetsbaarheden in internetgerichte servers om initiële toegang te krijgen tot doelnetwerken. De aanvallers gebruiken exploits om webshells in te zetten, waardoor ze op afstand opdrachten kunnen uitvoeren op gecompromitteerde systemen. Eenmaal binnen het netwerk gebruikt Flax Typhoon verschillende technieken om permanente toegang tot stand te brengen.

Een belangrijke methode is het compromitteren van externe desktopverbindingen door “verificatie op netwerkniveau uit te schakelen en de Sticky Keys-functie te kapen.” Hierdoor kunnen aanvallers op afstand toegang krijgen tot systemen, zelfs nadat ze opnieuw zijn opgestart. De groep installeert ook VPN-software om een ​​tunnel in het netwerk te creëren voor controle.

Flax Typhoon richt zich op het procesgeheugen van de Local Security Authority Subsystem Service (LSASS) en de registercomponent Security Account Manager (SAM). Beide winkels bevatten gehashte wachtwoorden voor gebruikers die zijn aangemeld bij het lokale systeem.

Flax Typhoon maakt regelmatig gebruik van Mimikatz, een publiek beschikbare malware die deze winkels automatisch kan dumpen als deze niet goed beveiligd is. De resulterende wachtwoord-hashes kunnen offline worden gekraakt of worden gebruikt in pass-the-hash-aanvallen (PtH) om toegang te krijgen tot andere bronnen op het aangetaste netwerk.

Na het vaststellen van doorzettingsvermogen, concentreert Flax Typhoon zich op het stelen van inloggegevens. De groep somt systeemherstelpunten op, die waarschijnlijk het aangetaste netwerk zullen begrijpen en sporen van hun activiteit zullen verwijderen. Microsoft zegt echter dat ze de voortgang van de aanvallers op weg naar verdere data-exfiltratie-doelstellingen niet hebben waargenomen.

Microsoft stelt dat het gerichte klanten rechtstreeks op de hoogte heeft gesteld en detectiemogelijkheden heeft geboden via Microsoft 365 Defender . Het verdedigen tegen deze dreiging is echter een uitdaging, omdat de groep sterk afhankelijk is van geldige accounts en legitieme tools.

Het nieuws komt terwijl de Amerikaanse regering de rol van Microsoft in het door China gesteunde e-maillek onderzoekt . Een Amerikaans cybersecurity-adviespanel onderzoekt mogelijke risico’s in cloud computing, inclusief de rol van Microsoft bij de overtreding.