Microsoft alerta sobre campanha de espionagem baseada na China visando Taiwan

A Microsoft descobriu uma campanha de espionagem cibernética visando organizações em Taiwan, atribuída a um grupo de atores de ameaças com sede na China chamado Flax Typhoon. Segundo a empresa, o Flax Typhoon está ativo desde 2021, visando agências governamentais e empresas dos setores de educação, manufatura, TI e outros setores.

A campanha explora vulnerabilidades em servidores voltados para a Internet para obter acesso inicial às redes alvo. Os invasores usam explorações para implantar web shells, permitindo-lhes executar comandos remotamente em sistemas comprometidos. Uma vez dentro da rede, o Flax Typhoon utiliza várias técnicas para estabelecer acesso persistente.

Um método importante é comprometer as conexões de área de trabalho remota ao “desativar a autenticação em nível de rede e sequestrar o recurso Sticky Keys”. Isso permite que os invasores acessem os sistemas remotamente, mesmo após a reinicialização. O grupo também instala software VPN para criar um túnel na rede para controle.

Flax Typhoon tem como alvo a memória de processo do Local Security Authority Subsystem Service (LSASS) e a seção de registro do Security Account Manager (SAM). Ambos os armazenamentos contêm senhas com hash para usuários conectados ao sistema local.

O Flax Typhoon frequentemente implanta o Mimikatz, um malware disponível publicamente que pode despejar automaticamente esses armazenamentos quando protegidos de maneira inadequada. Os hashes de senha resultantes podem ser quebrados offline ou usados ​​em ataques pass-the-hash (PtH) para acessar outros recursos na rede comprometida.

Depois de estabelecer persistência, o Flax Typhoon se concentra em roubar credenciais. O grupo enumera pontos de restauração do sistema, provavelmente para compreender a rede comprometida e remover vestígios de sua atividade. No entanto, a Microsoft afirma que não observou o progresso dos invasores para atingir objetivos adicionais de exfiltração de dados.

A Microsoft afirma que notificou diretamente os clientes-alvo e forneceu recursos de detecção por meio do Microsoft 365 Defender . No entanto, a defesa contra esta ameaça é um desafio, uma vez que o grupo depende fortemente de contas válidas e ferramentas legítimas.

A notícia chega no momento em que o governo dos EUA investiga o papel da Microsoft na violação de e-mail apoiada pela China . Um painel consultivo de segurança cibernética dos EUA está investigando riscos potenciais na computação em nuvem, incluindo o papel da Microsoft na violação.