Hackers sigilosos de Flax Typhoon usan LOLBins para evadir la detección

Microsoft ha identificado un nuevo grupo de piratería que ahora rastrea como Flax Typhoon que reúne a agencias gubernamentales y organizaciones educativas, de fabricación crítica y de tecnología de la información probablemente con fines de espionaje.

El actor de amenazas no depende mucho del malware para obtener y mantener el acceso a la red de la víctima y prefiere usar principalmente componentes ya disponibles en el sistema operativo, los llamados binarios que viven fuera de la tierra o LOLBins, y software legítimo.

Operando desde al menos mediados de 2021, Flax Typhoon se dirigió principalmente a organizaciones en Taiwán, aunque Microsoft descubrió algunas víctimas en el sudeste asiático, América del Norte y África.

TTP del tifón del lino observado

En la campaña observada por Microsoft, Flax Typhoon obtuvo acceso inicial explotando vulnerabilidades conocidas en servidores públicos, incluyendo VPN, web, Java y aplicaciones SQL.

Los hackers lanzaron China Chopper, un shell web pequeño (4KB) pero potente que proporciona capacidades de ejecución remota de código.

Si es necesario, los piratas informáticos elevan sus privilegios al nivel de administrador utilizando las herramientas de código abierto 'Juicy Potato' y 'BadPotato' disponibles públicamente que explotan vulnerabilidades conocidas para obtener permisos más altos.

A continuación, Flax Typhoon establece la persistencia desactivando la autenticación a nivel de red (NLA) a través de modificaciones en el registro y explotando la característica de accesibilidad Windows Sticky Keys para configurar una conexión RDP (Protocolo de escritorio remoto).

"Flax Typhoon puede acceder al sistema comprometido a través de RDP, usar el acceso directo Sticky Keys en la pantalla de inicio de sesión y acceder al Administrador de tareas con privilegios del sistema local", explica Microsoft.

"A partir de ahí, el actor puede iniciar la Terminal, crear volcados de memoria y realizar casi cualquier otra acción en el sistema comprometido".


Para eludir las restricciones de conectividad RDP de RDP a la red interna, Flax Typhoon instala un puente VPN (red privada virtual) legítimo para mantener el enlace entre el sistema comprometido y su servidor externo.

Los piratas informáticos descargan el cliente VPN SoftEther de código abierto utilizando LOLBins como PowerShell Invoke-WebRequest utility, certutil o bitsadmin, y abusan de varias herramientas integradas de Windows para configurar la aplicación VPN para que se inicie automáticamente al iniciar el sistema.


Para minimizar el riesgo de detección, los atacantes lo renombran a 'conhost.exe' o 'dllhost.exe', enmascarándolo así como un componente legítimo de Windows.

Además, Flax Typhoon utiliza el modo VPN sobre HTTPS de SoftEther para ocultar el tráfico VPN como tráfico HTTPS estándar.

Microsoft dice que los piratas informáticos utilizan Windows Remote Management (WinRM), WMIC y otros LOLBins para el movimiento lateral.

Los investigadores dicen que este adversario con sede en China utiliza con frecuencia la herramienta Mimikatz para extraer credenciales de la memoria de proceso del Servicio de Subsistema de Autoridad de Seguridad (LSASS) ocal y el subárbol de registro del Administrador de cuentas de seguridad (SAM).

Microsoft no ha observado que Flax Typhoon use las credenciales robadas para extraer datos adicionales, lo que hace que el objetivo principal del actor no esté claro en este momento.

Protección

Microsoft recomienda que las organizaciones apliquen las actualizaciones de seguridad más recientes a los puntos de conexión expuestos a Internet y a los servidores públicos, y la autenticación multifactor (MFA) debe estar habilitada en todas las cuentas.

Además, el monitoreo del registro podría ayudar a detectar intentos de modificación y cambios no autorizados como los realizados por Flax Typhoon para deshabilitar NLA.

Las organizaciones que sospechan una violación de este actor de amenazas en particular necesitan examinar a fondo sus redes, ya que los largos períodos de permanencia de Flax Typhoon permiten comprometer múltiples cuentas y alterar la configuración del sistema para el acceso a largo plazo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta