Ethereal Panda APT针对台湾发动攻击

与中国有联系的 APT 组织 Flax Typhoon 将台湾的数十个组织作为涉嫌间谍活动的一部分。

微软将APT Flax Typhoon（又名 Ethereal Panda）与针对台湾数十个组织的网络间谍活动联系起来。

研究人员观察到，Flax Typhoon 在使用最少的恶意软件的情况下获得并保持了对台湾组织网络的长期访问权限。该组织依赖操作系统内置的工具以及一些合法软件。微软没有观察到

该组织自 2021 年中期以来一直活跃，重点关注台湾的政府机构和教育、关键制造和信息技术组织。 

使用Chopper  Web shell、Metasploit、Juicy Potato 权限升级工具、Mimikatz和SoftEther虚拟专用网络 (VPN) 客户端观察 Flax Typhoon  。该组织主要依靠靠土地为生的技术 和键盘操作活动。

APT 的攻击链首先利用面向公众的服务器中的已知漏洞并部署China Chopper等Web shell 。在获得对目标网络的初始访问权限后，Flax Typhoon 使用命令行工具首先通过远程桌面协议建立持久访问，然后建立与 C2 基础设施的 VPN 连接，最后从受感染的系统收集凭据。国家资助的黑客还使用 VPN 访问来扫描目标组织中的漏洞。

在东南亚、北美和非洲也发现了少量受害者。该组织疑似自 2021 年中期以来一直活跃。

“为了部署 VPN 连接，Flax Typhoon 从其网络基础设施下载SoftEther VPN的可执行文件 。攻击者使用多个 LOLBins 之一下载该工具，例如PowerShell  Invoke-WebRequest实用程序、certutil或Bitsadmin。然后，Flax Typhoon 使用服务控制管理器 (SCM)创建一个 Windows 服务 ，在系统启动时自动启动 VPN 连接。” 报告继续。“这可以让攻击者监控受感染系统的可用性并建立 RDP 连接。”

威胁行为者被发现修改粘滞键行为以启动任务管理器并执行利用后活动。

微软还提供了有关如何调查可疑受损帐户或受影响系统的说明。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7838.html