Tifone di lino
Flax Typhoon è un gruppo di cyberspionaggio con sede in Cina che si infiltra nelle organizzazioni sfruttando i servizi rivolti al pubblico e utilizzando software legittimi per mantenere un accesso furtivo e a lungo termine senza ricorrere al malware tradizionale.
L'origine del tifo per il lino
Flax Typhoon è un gruppo di attività di uno stato-nazione con sede in Cina che Microsoft ha monitorato dalla metà del 2021. L'attore si concentra sull'accesso a lungo termine e sullo spionaggio, operando con un minimo di malware su misura. Il gruppo si affida invece a binari "living-off-the-land", software legittimo di terze parti, shell web e attività con la tastiera per mantenere silenziosamente la presenza nelle reti bersaglio. Microsoft attribuisce a questo gruppo una campagna principalmente contro organizzazioni di Taiwan, anche se l'attività è stata osservata altrove.
Paesi colpiti dal Tifone del Lino
L'attività è concentrata a Taiwan, con alcune vittime nel Sud-est asiatico, in Nord America e in Africa. Gli strumenti e le tecniche sono riutilizzabili e potrebbero essere applicati anche al di fuori della regione.
Industrie colpite dal tifone del lino
Flax Typhoon ha preso di mira principalmente le agenzie governative, l'istruzione, le organizzazioni produttive e informatiche critiche. La campagna sembra orientata alla raccolta piuttosto che alla distruzione, in linea con gli obiettivi dello spionaggio.
Vittime del tifone del lino
Microsoft ha segnalato decine di organizzazioni colpite; le vittime includono server rivolti a Internet, gateway VPN e server che eseguono servizi Web, Java e SQL. L'accesso iniziale sfrutta comunemente i servizi rivolti al pubblico e le shell Web.
Metodo di attacco del Tifone di lino
Sfrutta le vulnerabilità note nelle applicazioni e nei servizi rivolti al pubblico per distribuire shell web come China Chopper.
Utilizza strumenti pubblici di privilege-escalation open-source (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Stabilisce l'accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i binari di accessibilità (Sticky Keys/sethc.exe) e installando/configurando un client VPN per eseguire il tunnel del traffico verso l'infrastruttura dell'attore. Opera con account legittimi, utilizza LOLBins e binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita il malware pesante per ridurre il rilevamento.
Scarica le credenziali e la memoria da LSASS utilizzando strumenti come Mimikatz e altre tecniche di scaricamento delle credenziali.
Utilizza i tunnel VPN stabiliti e i servizi remoti legittimi per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utility integrate e i servizi remoti per sondare e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel stabiliti o host proxy.
Microsoft non ha osservato azioni distruttive di ampia portata in questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta furtiva piuttosto che sul sabotaggio.
Sfrutta le vulnerabilità note nelle applicazioni e nei servizi rivolti al pubblico per distribuire shell web come China Chopper.
Utilizza strumenti pubblici di privilege-escalation open-source (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Stabilisce l'accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i binari di accessibilità (Sticky Keys/sethc.exe) e installando/configurando un client VPN per eseguire il tunnel del traffico verso l'infrastruttura dell'attore. Opera con account legittimi, utilizza LOLBins e binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita il malware pesante per ridurre il rilevamento.
Scarica le credenziali e la memoria da LSASS utilizzando strumenti come Mimikatz e altre tecniche di scaricamento delle credenziali.
Utilizza i tunnel VPN stabiliti e i servizi remoti legittimi per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utility integrate e i servizi remoti per sondare e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel stabiliti o host proxy.
Microsoft non ha osservato azioni distruttive di ampia portata in questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta furtiva piuttosto che sul sabotaggio.
TTP utilizzati dal Flax Typhoon
Come rilevare il tifone del lino con Vectra AI
DOMANDE FREQUENTI
Flax Typhoon è un ransomware distruttivo o un'attività di spionaggio?
Microsoft ha osservato attività di spionaggio incentrate sull'accesso a lungo termine e sulla raccolta di credenziali, non su ransomware distruttivi.
Cosa rende difficile l'individuazione per questo attore?
L'uso massiccio di strumenti legittimi, binari di sistema e account validi riduce i rilevamenti delle firme e aumenta i falsi negativi; sono necessari il rilevamento e la correlazione comportamentale.
Quali artefatti dovrebbero avere la massima priorità quando si tratta di una sospetta compromissione?
File di shell Web su server pubblici, modifiche al registro di sistema che disabilitano l'NLA, sostituzioni di binari di accessibilità (sethc.exe), processi VPN SoftEther con account atipici e dump LSASS.
Esistono query di caccia o regole di rilevamento pubblicate da utilizzare?
Sì, Microsoft ha pubblicato le query di caccia di Microsoft 365 Defender e Sentinel e gli esempi di rilevamento, compresi gli esempi KQL e la mappatura TI. Utilizzateli come base e adattateli alla vostra telemetria.
Dobbiamo bloccare gli IP elencati da Microsoft?
Bloccate o bloccate le infrastrutture dannose conosciute, ove possibile, ma trattate gli IP come effimeri. Combinare i blocchi di IP con i rilevamenti comportamentali per una copertura duratura.
Come dare priorità alla bonifica dopo il rilevamento?
Isolare e indagare immediatamente sugli host compromessi, ripristinare gli account interessati, ricostruire i server rivolti a Internet in cui si trovano le shell Web ed eseguire la rotazione delle credenziali.
Quale telemetria è più utile per individuare questo gruppo?
Creazione di processi e telemetria della riga di comando sugli endpoint, connessioni di rete a endpoint esterni insoliti, modifiche di file del server Web e registri HTTP, nonché tracce EDR dell'accesso LSASS.
I prodotti AV standard rilevano i loro utensili?
Alcuni strumenti (Mimikatz, backdoor note) vengono rilevati dagli AV, ma gran parte dell'attività di Flax Typhoon utilizza LOLBin e strumenti legittimi; per la copertura ci si affida ai rilevamenti comportamentali e alla correlazione degli EDR.
C'è una lista di controllo per l'indurimento rapido?
Applicare le patch ai servizi pubblici, applicare l'MFA, riattivare l'NLA, limitare l'accesso RDP e VPN tramite accesso condizionato o salto di host, attivare le protezioni LSASS e monitorare l'uso di certutil/bitsadmin.
Dove posso trovare i dettagli ufficiali, le domande di caccia e i CIO?
Il post sul blog di Microsoft contiene l'analisi completa, le query di caccia (KQL).