Tifone di lino
Flax Typhoon è un gruppo di cyber-spionaggio con sede in Cina che si infiltra nelle organizzazioni sfruttando servizi accessibili al pubblico e utilizzando software legittimi per mantenere un accesso furtivo e a lungo termine senza ricorrere al malware tradizionale.
L'origine del tifone Flax
Flax Typhoon è un gruppo di attività statale con sede in Cina che Microsoft tiene sotto controllo dalla metà del 2021. L'attore si concentra sull'accesso a lungo termine e sullo spionaggio, operando con malware personalizzato minimo. Il gruppo si affida invece in larga misura a binari living-off-the-land, software di terze parti legittimi, web shell e attività hands-on-keyboard per mantenere silenziosamente la propria presenza nelle reti di destinazione. Microsoft attribuisce a questo gruppo una campagna rivolta principalmente contro organizzazioni di Taiwan, sebbene siano state osservate attività anche altrove.
Paesi colpiti dal tifone Flax
L'attività è concentrata a Taiwan, con alcune vittime nel Sud-Est asiatico, in Nord America e in Africa. Gli strumenti e le tecniche sono riutilizzabili e potrebbero essere applicati al di fuori della regione.
Settori interessati da Flax Typhoon
Flax Typhoon ha preso di mira principalmente agenzie governative, istituti scolastici, aziende manifatturiere critiche e organizzazioni che operano nel settore dell'informatica. La campagna sembra orientata alla raccolta di informazioni piuttosto che alla distruzione, in linea con gli obiettivi di spionaggio.
Le vittime del tifone Flax
Microsoft ha segnalato decine di organizzazioni colpite; tra le vittime figurano server connessi a Internet, gateway VPN e server che eseguono servizi web, Java e SQL. L'accesso iniziale sfrutta comunemente servizi pubblici e web shell.
Metodo di attacco di Flax Typhoon
Sfrutta le vulnerabilità note nelle applicazioni e nei servizi accessibili al pubblico per distribuire web shell come China Chopper.
Utilizza strumenti pubblici open source per l'escalation dei privilegi (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Stabilisce un accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i file binari di accessibilità (Sticky Keys/sethc.exe) e installando/configurando un client VPN per incanalare il traffico verso l'infrastruttura dell'autore. Opera con account legittimi, utilizza LOLBins e file binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita malware pesanti malware ridurre il rischio di rilevamento.
Scarica le credenziali e la memoria da LSASS utilizzando strumenti come Mimikatz e altre tecniche di scaricamento delle credenziali.
Utilizza tunnel VPN consolidati e servizi remoti legittimi per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utilità integrate e i servizi remoti per sondare e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel stabiliti o host proxy.
Microsoft non ha osservato azioni distruttive su larga scala in questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta furtivi piuttosto che sul sabotaggio.
Sfrutta le vulnerabilità note nelle applicazioni e nei servizi accessibili al pubblico per distribuire web shell come China Chopper.
Utilizza strumenti pubblici open source per l'escalation dei privilegi (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Stabilisce un accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i file binari di accessibilità (Sticky Keys/sethc.exe) e installando/configurando un client VPN per incanalare il traffico verso l'infrastruttura dell'autore. Opera con account legittimi, utilizza LOLBins e file binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita malware pesanti malware ridurre il rischio di rilevamento.
Scarica le credenziali e la memoria da LSASS utilizzando strumenti come Mimikatz e altre tecniche di scaricamento delle credenziali.
Utilizza tunnel VPN consolidati e servizi remoti legittimi per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utilità integrate e i servizi remoti per sondare e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel stabiliti o host proxy.
Microsoft non ha osservato azioni distruttive su larga scala in questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta furtivi piuttosto che sul sabotaggio.
TTP utilizzati da Flax Typhoon
Come rilevare Flax Typhoon con Vectra AI
Domande frequenti
Flax Typhoon è un ransomware distruttivo o finalizzato allo spionaggio?
Microsoft ha osservato attività di spionaggio incentrate sull'accesso a lungo termine e sulla raccolta di credenziali, non ransomware distruttivo.
Cosa rende difficile il rilevamento di questo attore?
L'uso intensivo di strumenti legittimi, file binari di sistema e account validi riduce i rilevamenti delle firme e aumenta i falsi negativi; sono necessari il rilevamento comportamentale e la correlazione.
Quali artefatti dovrebbero avere la priorità assoluta quando si valuta un sospetto compromesso?
File shell Web su server pubblici, modifiche al registro che disabilitano NLA, sostituzioni binarie di accessibilità (sethc.exe), processi SoftEther VPN sotto account atipici e dump LSASS.
Esistono query di ricerca o regole di rilevamento pubblicate da utilizzare?
Sì, Microsoft ha pubblicato query di ricerca e rilevamenti di esempio per Microsoft 365 Defender e Sentinel, inclusi esempi KQL e mappatura TI. Utilizzateli come base di riferimento e adattateli alla vostra telemetria.
Dovremmo bloccare gli indirizzi IP elencati da Microsoft?
Bloccare o eliminare le infrastrutture dannose note, ove operativamente fattibile, ma trattare gli IP come effimeri. Combinare i blocchi IP con i rilevamenti comportamentali per una copertura duratura.
Come stabilire le priorità di intervento dopo il rilevamento?
Isolare immediatamente e indagare sugli host compromessi, reimpostare gli account interessati, ricostruire i server connessi a Internet in cui sono state rilevate web shell ed eseguire la rotazione delle credenziali.
Quale telemetria è più utile per rilevare questo gruppo?
Creazione di processi e telemetria della riga di comando sugli endpoint, connessioni di rete a endpoint esterni insoliti, modifiche ai file del server web e log HTTP, tracce EDR dell'accesso LSASS.
I prodotti AV standard rilevano i propri strumenti?
Alcuni strumenti (Mimikatz, backdoor note) vengono rilevati dall'antivirus, ma gran parte dell'attività di Flax Typhoon utilizza LOLBin e strumenti legittimi; affidatevi ai rilevamenti comportamentali EDR e alla correlazione per la copertura.
Qualche lista di controllo per un indurimento rapido?
Correggere i servizi pubblici, applicare l'autenticazione a più fattori (MFA), riattivare NLA, limitare l'accesso RDP e VPN tramite accesso condizionale o host di salto, abilitare le protezioni LSASS e monitorare l'utilizzo di certutil/bitsadmin.
Dove posso trovare i dettagli ufficiali, le domande relative alla caccia e gli IOC?
Il post sul blog di Microsoft contiene l'analisi completa e le query di ricerca (KQL).