Um grupo de atividades de estado-nação originário da China foi vinculado a ataques cibernéticos a dezenas de organizações em Taiwan como parte de uma suposta campanha de espionagem.
A equipe de Inteligência de Ameaças da Microsoft está acompanhando a atividade sob o nome Flax Typhoon, que também é conhecido como Ethereal Panda.
"Flax Typhoon obtém e mantém acesso de longo prazo às redes das organizações taiwanesas com o mínimo uso de malware, contando com ferramentas integradas no sistema operacional, juntamente com um software normalmente benigno para permanecer silenciosamente nessas redes", disse a empresa.
Acrescentou ainda que não observou o grupo armar o acesso para realizar coleta e extração de dados.
A maioria dos alvos inclui agências governamentais, instituições educacionais, indústria de manufatura crítica e organizações de tecnologia da informação em Taiwan.
Um número menor de vítimas também foi detectado no Sudeste da Ásia, América do Norte e África.
Suspeita-se que o grupo esteja ativo desde meados de 2021.
"As operações do Ethereal Panda se concentram principalmente em entidades dos setores acadêmico, tecnológico e de telecomunicações em Taiwan", observa a CrowdStrike em sua descrição da equipe de hackers.
"O Ethereal Panda depende fortemente de executáveis SoftEther VPN para manter o acesso às redes das vítimas, mas também foi observado implantando a web shell GodZilla."
O foco principal do ator gira em torno da persistência, movimento lateral e acesso a credenciais, com o ator empregando métodos de viver-da-terra (LotL) e atividade direta no teclado para alcançar seus objetivos.
O modus operandi está em linha com a prática dos atores de ameaças de atualizar continuamente suas abordagens para evadir a detecção, apostando em ferramentas disponíveis no ambiente de destino para evitar download desnecessário e criação de componentes personalizados.
O acesso inicial é facilitado por meio da exploração de vulnerabilidades conhecidas em servidores voltados para o público e implantação de shells da web como China Chopper, seguido pelo estabelecimento de acesso persistente sobre o Protocolo de Área de Trabalho Remota (RDP), implantação de uma ponte VPN para conectar a um servidor remoto e colheita de credenciais utilizando o Mimikatz.
Um aspecto notável dos ataques é a modificação do comportamento das Teclas de Aderência para lançar o Gerenciador de Tarefas, permitindo que o Flax Typhoon realize pós-exploração no sistema comprometido.
"Em casos em que o Flax Typhoon precisa se mover lateralmente para acessar outros sistemas na rede comprometida, o ator usa LOLBins, incluindo Gerenciamento Remoto do Windows (WinRM) e WMIC", disse o fabricante do Windows.
O desenvolvimento ocorre três meses depois que a Microsoft expôs outro ator vinculado à China chamado Volt Typhoon (também conhecido como Bronze Silhouette ou Vanguard Panda), que foi observado exclusivamente confiando em técnicas LotL para voar sob o radar e exfiltrar dados.
Embora a sobreposição de táticas e infraestrutura entre atores de ameaças operando fora da China não seja incomum, as descobertas retratam uma paisagem de ameaças em constante evolução, com adversários mudando suas técnicas para serem mais seletivos em suas operações subsequentes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...