据报道微软。
这位科技巨头声称,这一系列攻击是一个由一位成熟民族国家演员的标志中国。微软的观察结果表明,该小组旨在进行间谍活动,并保持长期未经授权进入台湾境内各种行业。
微软揭示了中国黑客的恶意行为模式
该公司的发现源于一种明显的恶意行为模式,主要影响台湾位于台湾的实体。亚麻台风采用的攻击技术是适应性的,可以想象可以重新使用该地区以外的运营。
披露是通过Microsoft博客文章,该公司在《亚麻台风报道的作案》中阐述了该集团获得并维持未经授权访问目标网络的策略的阐明。
值得注意的是,攻击者同时依靠有效的用户帐户和战略使用活地使用二进制文件(LOLBINS),这使得对其活动的检测和缓解措施成为巨大的挑战。
建议的补救措施包括结束或修改受损的帐户以及精心隔离和调查受损系统。
根据微软的说法,亚麻台风在2021年中期首次浮出水面,主要将其运营集中在台湾政府机构,教育机构,关键制造业和信息技术公司上。
但是,在其他地区,例如东南亚,北美和非洲,该组织活动的痕迹也有报道。发现该小组对在受损的系统,跨网络的横向移动以及未经授权的访问凭证的采购中表现出特定的兴趣。
中国黑客台风的工具
亚麻台风采用各种工具来实现其目标,包括中国切碎的网络壳,Metasploit,多汁的马铃薯特权升级工具,Mimikatz和柔和的虚拟专用网络(VPN)客户端。
根据Microsoft的调查结果,该小组的策略大大倾向于使用活跃地的技术和直接的动手键盘互动。
微软说,亚麻台风通过利用公共面向公共服务器中的已知漏洞来发起攻击。这些漏洞被利用以获得初始访问权限,攻击者部署了诸如中国斩波器之类的网络壳,以在折衷的服务器上实现远程代码执行。
在妥协流程缺乏管理员特权的情况下,微软声称该小组部署了恶意软件,例如多汁的马铃薯,以利用已知漏洞并确保本地系统特权。
攻击者优先考虑在受损系统中保持持久性。为此,据报道,亚麻台风通过禁用网络级别的身份验证(NLA)和更改系统配置来操纵远程桌面协议(RDP)。
这些行动为攻击者提供了长期途径,用于访问受损的系统并利用RDP进行活动。根据微软的说法,解决亚麻台风构成的威胁要求强大的脆弱性和补丁管理,尤其是对于暴露于公共互联网的系统。
此外,该公司强调了适当的系统硬化以应对攻击者的凭证访问策略的重要性。
