Indice
L’attacco informatico
Microsoft ha identificato un sofisticato attacco cibernetico diretto a varie organizzazioni di Taiwan. Gli autori dietro questo attacco sono stati individuati nel gruppo di cybercriminali noto come Flax Typhoon, una fazione con presunti legami finanziari con il governo cinese.
Spionaggio digitale
Operativo da metà del 2021, il gruppo Flax Typhoon ha mirato principalmente enti governativi, aziende operanti nei settori IT, istruzione e manifatturiero. Sfruttando l’approccio delle “living-off-the-land binaries (LOLBins)”, gli aggressori hanno complicato ulteriormente la scoperta delle loro attività malevoli.
Il funzionamento
L’attacco inizia sfruttando vulnerabilità ben note presenti nei server e nelle applicazioni, inclusi software VPN, Java e SQL. Successivamente, viene introdotta una “web shell” come ad esempio China Chopper, aprendo la strada all’esecuzione di codice a distanza. Se questa viene qualche in modo ostacolata tramite limitazione di privilegi, i cybercriminali aumentano il loro controllo tramite l’uso di malware come Juicy Potato e Bad Potato. Inoltre si avvalgono del “Remote Desktop Protocol (RDP)” dopo aver neutralizzato l’Autenticazione a Livello di Rete (NLA), manipolando registri. Questo apre le porte all’interazione con la schermata di accesso di Windows senza necessità di autenticazione.
L’obiettivo
Il gruppo Flax Typhoon fa ricorso a Mimikatz per estrarre registri sensibili, come quelli del Sottosistema del Local Security Authority (LSASS) e del Gestore di Account di Sicurezza (SAM). Ad oggi, Microsoft non ha individuato segni di furto o raccolta di dati da parte degli aggressori: si tratta quindi di “semplice” spionaggio digitale.
La prevenzione
Microsoft sottolinea che rilevare e bloccare attacchi di questo genere rappresenta una sfida significativa. Gli attacchi del gruppo Flax Typhoon dimostrano l’elusività delle tattiche basate su “LOLBins”, rendendo evidente l’importanza di difese cibernetiche robuste e sistemi di rilevamento avanzati.
Ti è piaciuto questo articolo? Condividilo con i tuoi amici!
