Un groupe d’activités d’État-nation originaire de Chine a été associé à des cyberattaques contre des dizaines d’organisations à Taiwan dans le cadre d’une campagne d’espionnage présumée.
L’équipe Microsoft Threat Intelligence suit l’activité sous le nom Typhon de linégalement connu sous le nom de Panda éthéré.
« Flax Typhoon obtient et maintient un accès à long terme aux réseaux des organisations taïwanaises avec une utilisation minimale de logiciels malveillants, en s’appuyant sur des outils intégrés au système d’exploitation, ainsi que sur des logiciels normalement inoffensifs pour rester discrètement dans ces réseaux », a déclaré la société. dit.
Il a ajouté qu’il n’avait pas observé le groupe utiliser l’accès comme une arme pour procéder à la collecte de données et à l’exfiltration. La majorité des cibles comprennent des agences gouvernementales, des établissements d’enseignement, des entreprises de fabrication critiques et des organisations de technologie de l’information à Taiwan.
Un plus petit nombre de victimes ont également été détectées en Asie du Sud-Est, en Amérique du Nord et en Afrique. Le groupe est soupçonné d’être actif depuis mi-2021.
« Les opérations d’Ethereal Panda se concentrent principalement sur les entités des secteurs universitaire, technologique et des télécommunications à Taiwan », CrowdStrike Remarques dans sa description de l’équipe de hackers. « Ethereal Panda s’appuie fortement sur les exécutables SoftEther VPN pour maintenir l’accès aux réseaux des victimes, mais il a également été observé en train de déployer le shell Web GodZilla. »
L’objectif principal de l’acteur tourne autour de la persévérance, du mouvement latéral et de l’accès aux diplômes, l’acteur employant des personnes vivant de la terre (LotL) méthodes et activités pratiques au clavier pour atteindre ses objectifs.
Le modus operandi est conforme à la pratique des acteurs de la menace consistant à mettre continuellement à jour leurs approches pour échapper à la détection, en misant sur les outils disponibles dans l’environnement cible pour éviter le téléchargement inutile et la création de composants personnalisés.
L’accès initial est facilité en exploitant les vulnérabilités connues des serveurs publics et en déployant des shells Web comme China Chopper, suivi de l’établissement d’un accès persistant via Remote Desktop Protocol (RDP), du déploiement d’un pont VPN pour se connecter à un serveur distant et de la collecte des informations d’identification. en utilisant Mimikatz.
Un aspect remarquable des attaques est la modification du comportement de Sticky Keys pour lancer le Gestionnaire des tâches, permettant à Flax Typhoon d’effectuer une post-exploitation sur le système compromis.
« Dans les cas où Flax Typhoon doit se déplacer latéralement pour accéder à d’autres systèmes sur le réseau compromis, l’acteur utilise LOLBins, notamment Windows Remote Management (WinRM) et WMIC », a déclaré le fabricant de Windows.
Ce développement intervient trois mois après que Microsoft a dévoilé un autre acteur lié à la Chine nommé Volt Typhoon (alias Bronze Silhouette ou Vanguard Panda), qui a été observé en s’appuyant exclusivement sur les techniques LotL pour passer sous le radar et exfiltrer des données.
Bien que le croisement des tactiques et des infrastructures entre les acteurs de la menace opérant à partir de Chine ne soit pas inhabituel, les résultats dressent le portrait d’un paysage de menaces en constante évolution, les adversaires modifiant leur métier pour devenir plus sélectifs dans leurs opérations de suivi.