Flax Typhoon
Flax Typhoon è un gruppo di spionaggio informatico con sede in Cina che si infiltra nelle organizzazioni sfruttando servizi accessibili al pubblico e utilizzando software legittimo per mantenere un accesso nascosto e a lungo termine senza ricorrere al malware tradizionale.
L'origine di Flax Typhoon
Flax Typhoon è un gruppo di attività statale con base in Cina che Microsoft tiene sotto osservazione dalla metà del 2021. L'attore si concentra sull'accesso a lungo termine e sullo spionaggio, operando con un minimo di malware creato su misura. Il gruppo fa invece ampio ricorso a binari "living-off-the-land", software legittimo di terze parti, web shell e attività manuali sulla tastiera per mantenere silenziosamente la propria presenza nelle reti di destinazione. Microsoft attribuisce a questo gruppo una campagna rivolta principalmente contro organizzazioni a Taiwan, sebbene siano state osservate attività anche altrove.
Paesi interessati da Flax Typhoon
L'attività è concentrata a Taiwan, con alcune vittime nel Sud-Est asiatico, in Nord America e in Africa. Gli strumenti e le tecniche utilizzati sono riutilizzabili e potrebbero essere applicati anche al di fuori della regione.
Settori di riferimento di Flax Typhoon
Flax Typhoon ha preso di mira principalmente enti governativi, istituti scolastici, settori manifatturieri strategici e aziende del settore informatico. La campagna sembra orientata alla raccolta di informazioni piuttosto che alla compromissione dei sistemi, in linea con gli obiettivi di spionaggio.
Le vittime del ciclone Flax
Microsoft ha segnalato decine di organizzazioni colpite; tra le vittime figurano server esposti a Internet, gateway VPN e server che eseguono servizi web, Java e SQL. L'accesso iniziale avviene solitamente tramite servizi esposti al pubblico e web shell.
Il metodo di attacco di Flax Typhoon
Sfrutta le vulnerabilità note presenti nelle applicazioni e nei servizi accessibili al pubblico per distribuire web shell come China Chopper.
Utilizza strumenti pubblici open source per l'escalation dei privilegi (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Consente l'accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i file binari di accessibilità (Tasti permanenti/sethc.exe) e installando/configurando un client VPN per instradare il traffico verso l'infrastruttura dell'autore dell'attacco. Opera utilizzando account legittimi, impiega LOLBins e file binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita l'uso malware ingombranti malware ridurre il rischio di rilevamento.
Estrae le credenziali e i dati dalla memoria di LSASS utilizzando strumenti come Mimikatz e altre tecniche di estrazione delle credenziali.
Utilizza i tunnel VPN già esistenti e i servizi remoti autorizzati per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utilità integrate e i servizi remoti per eseguire scansioni e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel già stabiliti o host proxy.
Microsoft non ha rilevato azioni distruttive su larga scala nel corso di questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta di dati in modo discreto piuttosto che sul sabotaggio.
Sfrutta le vulnerabilità note presenti nelle applicazioni e nei servizi accessibili al pubblico per distribuire web shell come China Chopper.
Utilizza strumenti pubblici open source per l'escalation dei privilegi (Juicy Potato, BadPotato e varianti) ed exploit di vulnerabilità note per elevare i privilegi sugli host compromessi.
Consente l'accesso a lungo termine abilitando la persistenza RDP, disabilitando l'autenticazione a livello di rete (NLA), sostituendo i file binari di accessibilità (Tasti permanenti/sethc.exe) e installando/configurando un client VPN per instradare il traffico verso l'infrastruttura dell'autore dell'attacco. Opera utilizzando account legittimi, impiega LOLBins e file binari di sistema firmati (certutil, bitsadmin, ecc.) ed evita l'uso malware ingombranti malware ridurre il rischio di rilevamento.
Estrae le credenziali e i dati dalla memoria di LSASS utilizzando strumenti come Mimikatz e altre tecniche di estrazione delle credenziali.
Utilizza i tunnel VPN già esistenti e i servizi remoti autorizzati per eseguire la scansione delle reti e spostarsi lateralmente.
Sfrutta le utilità integrate e i servizi remoti per eseguire scansioni e accedere ad altri sistemi.
Esegue comandi e strumenti leggeri in modo interattivo, raccoglie credenziali e informazioni di configurazione e prepara i dati per l'esfiltrazione tramite tunnel già stabiliti o host proxy.
Microsoft non ha rilevato azioni distruttive su larga scala nel corso di questa campagna; l'attività sembra concentrarsi sull'accesso e la raccolta di dati in modo discreto piuttosto che sul sabotaggio.
TTP utilizzati da Flax Typhoon
Come rilevare il tifone Flax con Vectra AI
Domande frequenti
Flax Typhoon è un ransomware distruttivo o è orientato allo spionaggio?
Microsoft ha rilevato attività di tipo spionistico finalizzate all'ottenimento di un accesso a lungo termine e alla raccolta di credenziali, non a ransomware distruttivo.
Cosa rende difficile individuare questo attore?
L'uso intensivo di strumenti legittimi, file binari di sistema e account validi riduce i rilevamenti basati sulle firme e aumenta i falsi negativi; sono quindi necessari il rilevamento comportamentale e la correlazione.
Quali elementi dovrebbero avere la massima priorità durante la valutazione iniziale di un sospetto attacco informatico?
File web shell su server pubblici, modifiche al Registro di sistema che disabilitano NLA, sostituzioni di file binari di accessibilità (sethc.exe), processi SoftEther VPN eseguiti con account atipici e dump LSASS.
Esistono query di ricerca o regole di individuazione già pubblicate che si possono utilizzare?
Sì, Microsoft ha pubblicato le query di ricerca e gli esempi di rilevamento di Microsoft 365 Defender e Sentinel, inclusi esempi in KQL e la mappatura dei TI. Usali come punto di partenza e adattali ai tuoi dati di telemetria.
Dovremmo bloccare gli indirizzi IP indicati da Microsoft?
Bloccare o eliminare le infrastrutture notoriamente dannose, ove ciò sia operativamente fattibile, ma considerare gli indirizzi IP come effimeri. Combinare i blocchi di indirizzi IP con i rilevamenti comportamentali per garantire una copertura duratura.
Come stabilire le priorità degli interventi correttivi dopo l'individuazione di un problema?
Isolare immediatamente e analizzare gli host compromessi, reimpostare gli account interessati, reinstallare i server esposti a Internet in cui sono state rilevate delle web shell ed effettuare la rotazione delle credenziali.
Quale tipo di telemetria è più utile per individuare questo gruppo?
Creazione di processi e dati di telemetria da riga di comando sugli endpoint, connessioni di rete verso endpoint esterni insoliti, modifiche ai file dei server web e registri HTTP, nonché tracce EDR relative agli accessi a LSASS.
I prodotti AV standard rilevano i propri strumenti?
Alcuni strumenti (come Mimikatz o backdoor note) vengono rilevati dai programmi antivirus, ma gran parte dell'attività di Flax Typhoon si avvale di LOLBin e strumenti legittimi; per garantire una copertura completa, è necessario affidarsi ai rilevamenti comportamentali e alla correlazione dei dati forniti dai sistemi EDR.
Esiste una lista di controllo per l'indurimento rapido?
Aggiornare i servizi pubblici, applicare l'autenticazione a più fattori (MFA), riattivare l'autenticazione NLA, limitare l'accesso RDP e VPN tramite accesso condizionato o host di passaggio, abilitare le protezioni LSASS e monitorare l'utilizzo di certutil/bitsadmin.
Dove posso trovare le informazioni ufficiali, le domande relative alla caccia e gli IOC?
Il post sul blog di Microsoft contiene l'analisi completa e le query di ricerca (KQL).