Flachs-Taifun
Flax Typhoon ist eine in China ansässige Cyberspionage-Gruppe, die Organisationen infiltriert, indem sie öffentlich zugängliche Dienste ausnutzt und legitime Software verwendet, um sich heimlich und langfristig Zugang zu verschaffen, ohne sich auf herkömmliche malware zu verlassen.
Der Ursprung des Flachs-Taifuns
Flax Typhoon ist eine in China ansässige nationalstaatliche Aktivitätsgruppe, die Microsoft seit Mitte 2021 verfolgt. Der Akteur konzentriert sich auf langfristigen Zugang und Spionage und arbeitet mit minimaler, maßgeschneiderter malware. Stattdessen verlässt sich die Gruppe stark auf "living-off-the-land"-Binärdateien, legitime Software von Drittanbietern, Web-Shells und Aktivitäten über die Tastatur, um unbemerkt in den Zielnetzwerken präsent zu bleiben. Microsoft schreibt dieser Gruppe eine Kampagne zu, die sich vor allem gegen Organisationen in Taiwan richtet, obwohl auch anderswo Aktivitäten beobachtet wurden.
Vom Flachs-Taifun betroffene Länder
Die Aktivitäten konzentrieren sich auf Taiwan, mit einigen Opfern in Südostasien, Nordamerika und Afrika. Die Werkzeuge und Techniken sind wiederverwendbar und könnten auch außerhalb der Region eingesetzt werden.
Vom Flachs-Taifun betroffene Branchen
Flax Typhoon hat es in erster Linie auf Regierungsbehörden, Bildungseinrichtungen, kritische Produktionsbetriebe und Informationstechnologieunternehmen abgesehen. Die Kampagne scheint eher auf das Sammeln von Daten als auf Störungen ausgerichtet zu sein, was mit den Zielen der Spionage übereinstimmt.
Die Opfer des Taifuns Flachs
Microsoft meldete Dutzende von betroffenen Organisationen; zu den Opfern gehören Server mit Internetanschluss, VPN-Gateways und Server, auf denen Web-, Java- und SQL-Dienste laufen. Der erste Zugriff erfolgt in der Regel über öffentlich zugängliche Dienste und Web-Shells.
Angriffsmethode des Flachs-Taifuns
Nutzt bekannte Schwachstellen in öffentlich zugänglichen Anwendungen und Diensten aus, um Web-Shells wie China Chopper einzusetzen.
Verwendet öffentliche Open-Source-Tools zur Privilegienerweiterung (Juicy Potato, BadPotato und Varianten) und bekannte Sicherheitslücken, um die Privilegien auf kompromittierten Hosts zu erhöhen.
Ermöglicht einen langfristigen Zugang durch die Aktivierung der RDP-Persistenz, die Deaktivierung der Authentifizierung auf Netzwerkebene (NLA), das Ersetzen von Zugriffsbinärdateien (Sticky Keys/sethc.exe) und die Installation/Konfiguration eines VPN-Clients, um den Datenverkehr zur Infrastruktur des Akteurs zu tunneln. Arbeitet mit legitimen Konten, verwendet LOLBins und signierte System-Binärdateien (certutil, bitsadmin, etc.) und vermeidet schwere malware , um die Erkennung zu reduzieren.
Dumps von Anmeldedaten und Speicher von LSASS mit Hilfe von Tools wie Mimikatz und anderen Anmeldedaten-Dumping-Techniken.
Nutzt die etablierten VPN-Tunnel und legitimen Remote-Dienste, um Netzwerke zu scannen und sich seitlich zu bewegen.
Nutzt integrierte Dienstprogramme und Remote-Dienste, um andere Systeme zu untersuchen und darauf zuzugreifen.
Führt Befehle und leichtgewichtige Tools interaktiv aus, sammelt Anmeldeinformationen und Konfigurationsdaten und bereitet Daten für die Exfiltration über etablierte Tunnel oder Proxy-Hosts vor.
Microsoft hat bei dieser Kampagne keine breit angelegten zerstörerischen Aktionen beobachtet; die Aktivitäten scheinen sich eher auf den heimlichen Zugriff und das Sammeln von Daten als auf Sabotage zu konzentrieren.
Nutzt bekannte Schwachstellen in öffentlich zugänglichen Anwendungen und Diensten aus, um Web-Shells wie China Chopper einzusetzen.
Verwendet öffentliche Open-Source-Tools zur Privilegienerweiterung (Juicy Potato, BadPotato und Varianten) und bekannte Sicherheitslücken, um die Privilegien auf kompromittierten Hosts zu erhöhen.
Ermöglicht einen langfristigen Zugang durch die Aktivierung der RDP-Persistenz, die Deaktivierung der Authentifizierung auf Netzwerkebene (NLA), das Ersetzen von Zugriffsbinärdateien (Sticky Keys/sethc.exe) und die Installation/Konfiguration eines VPN-Clients, um den Datenverkehr zur Infrastruktur des Akteurs zu tunneln. Arbeitet mit legitimen Konten, verwendet LOLBins und signierte System-Binärdateien (certutil, bitsadmin, etc.) und vermeidet schwere malware , um die Erkennung zu reduzieren.
Dumps von Anmeldedaten und Speicher von LSASS mit Hilfe von Tools wie Mimikatz und anderen Anmeldedaten-Dumping-Techniken.
Nutzt die etablierten VPN-Tunnel und legitimen Remote-Dienste, um Netzwerke zu scannen und sich seitlich zu bewegen.
Nutzt integrierte Dienstprogramme und Remote-Dienste, um andere Systeme zu untersuchen und darauf zuzugreifen.
Führt Befehle und leichtgewichtige Tools interaktiv aus, sammelt Anmeldeinformationen und Konfigurationsdaten und bereitet Daten für die Exfiltration über etablierte Tunnel oder Proxy-Hosts vor.
Microsoft hat bei dieser Kampagne keine breit angelegten zerstörerischen Aktionen beobachtet; die Aktivitäten scheinen sich eher auf den heimlichen Zugriff und das Sammeln von Daten als auf Sabotage zu konzentrieren.
Von Flax Typhoon verwendete TTPs
Flachs-Taifun mit Vectra AI AI erkennen
Häufig gestellte Fragen
Ist Flax Typhoon destruktive ransomware oder auf Spionage ausgerichtet?
Microsoft beobachtete spionageähnliche Aktivitäten, die sich auf langfristigen Zugang und das Sammeln von Zugangsdaten konzentrierten, nicht auf zerstörerische ransomware.
Was macht die Erkennung für diesen Akteur so schwierig?
Die häufige Verwendung legitimer Tools, System-Binärdateien und gültiger Konten verringert die Erkennungsrate von Signaturen und erhöht die Zahl der falsch-negativen Ergebnisse; Verhaltenserkennung und Korrelation sind erforderlich.
Welche Artefakte sollten bei der Untersuchung einer vermuteten Kompromittierung höchste Priorität haben?
Web-Shell-Dateien auf öffentlichen Servern, Registry-Änderungen, die NLA deaktivieren, Erreichbarkeits-Binär-Ersetzungen (sethc.exe), SoftEther-VPN-Prozesse unter atypischen Konten und LSASS-Dumps.
Gibt es veröffentlichte Suchanfragen oder Erkennungsregeln, die zu verwenden sind?
Ja, Microsoft hat Microsoft 365 Defender- und Sentinel-Jagdabfragen und Beispieldetektionen veröffentlicht, einschließlich KQL-Beispiele und TI-Zuordnung. Verwenden Sie diese als Grundlage und passen Sie sie an Ihre Telemetrie an.
Sollten wir die von Microsoft aufgeführten IPs sperren?
Blockieren oder Sinkholes bekannter bösartiger Infrastrukturen, wo dies operativ machbar ist, wobei IPs als flüchtig zu behandeln sind. Kombinieren Sie IP-Blöcke mit verhaltensbezogenen Erkennungen, um eine dauerhafte Abdeckung zu erreichen.
Wie kann man nach der Entdeckung Prioritäten für die Abhilfe setzen?
Isolieren und untersuchen Sie sofort die kompromittierten Hosts, setzen Sie die betroffenen Konten zurück, bauen Sie Server mit Internetzugang wieder auf, auf denen sich Web-Shells befinden, und wechseln Sie die Zugangsdaten.
Welche Telemetrie ist für die Erkennung dieser Gruppe am nützlichsten?
Prozesserstellung und Befehlszeilentelemetrie auf Endpunkten, Netzwerkverbindungen zu ungewöhnlichen externen Endpunkten, Webserver-Dateiveränderungen und HTTP-Protokolle sowie EDR-Spuren von LSASS-Zugriffen.
Erkennen AV-Standardprodukte ihre Werkzeuge?
Einige Tools (Mimikatz, bekannte Backdoors) werden von AV erkannt, aber ein Großteil der Aktivitäten von Flax Typhoon verwendet LOLBins und legitime Tools; für die Erkennung ist man auf EDR-Verhaltenserkennungen und Korrelation angewiesen.
Gibt es eine Checkliste für die schnelle Härtung?
Patchen Sie öffentliche Dienste, erzwingen Sie MFA, aktivieren Sie NLA erneut, schränken Sie den RDP- und VPN-Zugang über Conditional Access oder Jump Hosts ein, aktivieren Sie LSASS-Schutzmaßnahmen und überwachen Sie die Verwendung von certutil/bitsadmin.
Wo erhalte ich die offiziellen Informationen, Jagdabfragen und IOCs?
Der Blogbeitrag von Microsoft enthält die vollständige Analyse, die Jagdabfragen (KQL).