微軟警告中國針對台灣的間諜活動
微軟發現了針對台灣組織的網絡間諜活動,該活動歸因於一個名為 Flax Typhoon 的中國威脅組織。據該公司稱,Flax Typhoon 自 2021 年以來一直活躍,針對政府機構和教育、製造、IT 等行業的公司。
該活動利用面向互聯網的服務器中的漏洞來獲得對目標網絡的初始訪問權限。攻擊者利用漏洞部署 Web shell,從而允許他們在受感染的系統上遠程執行命令。一旦進入網絡,Flax Typhoon 就會使用各種技術來建立持久訪問。
一個關鍵方法是通過“禁用網絡級身份驗證並劫持粘滯鍵功能”來破壞遠程桌面連接。這使得攻擊者即使在重新啟動後也可以遠程訪問系統。該組織還安裝 VPN 軟件來創建進入網絡的隧道以進行控制。
Flax Typhoon 的目標是本地安全機構子系統服務 (LSASS) 進程內存和安全帳戶管理器 (SAM) 註冊表配置單元。這兩個存儲都包含登錄本地系統的用戶的哈希密碼。
Flax Typhoon 經常部署 Mimikatz,這是一種公開可用的惡意軟件,在安全措施不當時可以自動轉儲這些存儲。生成的密碼哈希可以離線破解或用於哈希傳遞 (PtH) 攻擊,以訪問受感染網絡上的其他資源。
建立持久性後,Flax Typhoon 專注於竊取憑證。該組織列舉了系統恢復點,可能會了解受感染的網絡並刪除其活動痕跡。然而,微軟表示,他們尚未觀察到攻擊者進一步實現數據洩露目標的進展。
微軟表示已直接通知目標客戶並通過Microsoft 365 Defender提供檢測功能。然而,防禦這種威脅具有挑戰性,因為該組織嚴重依賴有效帳戶和合法工具。
這一消息發布之際,美國政府正在調查微軟在中國支持的電子郵件洩露事件中所扮演的角色。美國網絡安全顧問小組正在調查雲計算的潛在風險,包括微軟在違規行為中所扮演的角色。
發佈留言