Typhon de lin
Flax Typhoon est un groupe de cyber-espionnage basé en Chine qui infiltre les organisations en exploitant les services publics et en utilisant des logiciels légitimes pour maintenir un accès furtif et à long terme sans recourir aux malware traditionnels.
L'origine de Flax Typhoon
Flax Typhoon est un groupe d'activité étatique basé en Chine que Microsoft suit depuis le milieu de l'année 2021. L'acteur se concentre sur l'accès à long terme et l'espionnage, en opérant avec un minimum de malware sur mesure. Au lieu de cela, le groupe s'appuie fortement sur des logiciels binaires, des logiciels tiers légitimes, des shells web et des activités au clavier pour maintenir discrètement sa présence dans les réseaux cibles. Microsoft attribue à ce groupe une campagne menée principalement contre des organisations à Taiwan, bien que des activités aient été observées ailleurs.
Pays ciblés par le Flax Typhoon
L'activité est concentrée à Taïwan, avec quelques victimes en Asie du Sud-Est, en Amérique du Nord et en Afrique. Les outils et les techniques sont réutilisables et pourraient être appliqués en dehors de la région.
Industries visées par le typhon du lin
Flax Typhoon a principalement ciblé des organismes gouvernementaux, des établissements d'enseignement, des entreprises manufacturières critiques et des organisations de technologie de l'information. La campagne semble axée sur la collecte plutôt que sur la perturbation, ce qui correspond aux objectifs de l'espionnage.
Les victimes du typhon de Flax
Microsoft a signalé des dizaines d'organisations touchées ; les victimes comprennent des serveurs orientés vers l'internet, des passerelles VPN et des serveurs exécutant des services web, Java et SQL. L'accès initial s'appuie généralement sur des services publics et des shells web.
Méthode d'attaque de Flax Typhoon
Exploite les vulnérabilités connues des applications et services publics pour déployer des coquilles web telles que China Chopper.
Utilise des outils publics d'élévation de privilèges (Juicy Potato, BadPotato et variantes) et des exploits de vulnérabilités connues pour élever les privilèges sur les hôtes compromis.
Établit un accès à long terme en activant la persistance RDP, en désactivant l'authentification au niveau du réseau (NLA), en remplaçant les binaires d'accessibilité (Sticky Keys/sethc.exe) et en installant/configurant un client VPN pour acheminer le trafic vers l'infrastructure de l'acteur. Fonctionne avec des comptes légitimes, utilise des LOLBins et des binaires système signés (certutil, bitsadmin, etc.) et évite les malware lourds pour réduire la détection.
Décharge les informations d'identification et la mémoire de LSASS à l'aide d'outils tels que Mimikatz et d'autres techniques de décharge d'informations d'identification.
Utilise les tunnels VPN établis et les services distants légitimes pour scanner les réseaux et se déplacer latéralement.
Exploite les utilitaires intégrés et les services à distance pour sonder et accéder à d'autres systèmes.
Exécute des commandes et des outils légers de manière interactive, collecte des informations d'identification et de configuration, et met en scène des données pour les exfiltrer via des tunnels établis ou des hôtes mandataires.
Microsoft n'a pas observé d'actions destructrices de grande ampleur dans le cadre de cette campagne ; l'activité semble se concentrer sur l'accès furtif et la collecte plutôt que sur le sabotage.
Exploite les vulnérabilités connues des applications et services publics pour déployer des coquilles web telles que China Chopper.
Utilise des outils publics d'élévation de privilèges (Juicy Potato, BadPotato et variantes) et des exploits de vulnérabilités connues pour élever les privilèges sur les hôtes compromis.
Établit un accès à long terme en activant la persistance RDP, en désactivant l'authentification au niveau du réseau (NLA), en remplaçant les binaires d'accessibilité (Sticky Keys/sethc.exe) et en installant/configurant un client VPN pour acheminer le trafic vers l'infrastructure de l'acteur. Fonctionne avec des comptes légitimes, utilise des LOLBins et des binaires système signés (certutil, bitsadmin, etc.) et évite les malware lourds pour réduire la détection.
Décharge les informations d'identification et la mémoire de LSASS à l'aide d'outils tels que Mimikatz et d'autres techniques de décharge d'informations d'identification.
Utilise les tunnels VPN établis et les services distants légitimes pour scanner les réseaux et se déplacer latéralement.
Exploite les utilitaires intégrés et les services à distance pour sonder et accéder à d'autres systèmes.
Exécute des commandes et des outils légers de manière interactive, collecte des informations d'identification et de configuration, et met en scène des données pour les exfiltrer via des tunnels établis ou des hôtes mandataires.
Microsoft n'a pas observé d'actions destructrices de grande ampleur dans le cadre de cette campagne ; l'activité semble se concentrer sur l'accès furtif et la collecte plutôt que sur le sabotage.
TTP utilisées par Flax Typhoon
Comment détecter Flax Typhoon avec Vectra AI
Foire aux questions
Flax Typhoon est-il un ransomware destructeur ou un logiciel d'espionnage ?
Microsoft a observé des activités d'espionnage axées sur l'accès à long terme et la collecte d'informations d'identification, et non des ransomwares destructeurs.
Qu'est-ce qui rend la détection difficile pour cet acteur ?
L'utilisation intensive d'outils légitimes, de binaires système et de comptes valides réduit les détections de signatures et augmente les faux négatifs ; la détection comportementale et la corrélation sont nécessaires.
Quels sont les artefacts à considérer en priorité lors du triage d'une suspicion de compromission ?
Fichiers Web shell sur des serveurs publics, modifications du registre désactivant NLA, remplacements de binaires d'accessibilité (sethc.exe), processus VPN SoftEther sous des comptes atypiques et vidages LSASS.
Existe-t-il des requêtes de chasse ou des règles de détection publiées à utiliser ?
Oui, Microsoft a publié les requêtes de chasse de Microsoft 365 Defender et Sentinel et des exemples de détection, y compris des exemples de KQL et de mappage TI. Utilisez-les comme base de référence et adaptez-les à votre télémétrie.
Devrions-nous bloquer les adresses IP répertoriées par Microsoft ?
Bloquer les infrastructures malveillantes connues lorsque cela est possible sur le plan opérationnel, mais considérer les adresses IP comme éphémères. Combiner les blocs d'adresses IP avec des détections comportementales pour une couverture durable.
Comment prioriser la remédiation après la détection ?
Isoler immédiatement les hôtes compromis et enquêter sur eux, réinitialiser les comptes concernés, reconstruire les serveurs orientés vers l'internet où se trouvent des shells web et effectuer des rotations d'informations d'identification.
Quelle est la télémétrie la plus utile pour détecter ce groupe ?
Création de processus et télémétrie de la ligne de commande sur les terminaux, connexions réseau à des terminaux externes inhabituels, modifications de fichiers du serveur web et journaux HTTP, et traces EDR de l'accès au LSASS.
Les produits AV standard détectent-ils leurs outils ?
Certains outils (Mimikatz, portes dérobées connues) sont détectés par les antivirus, mais une grande partie de l'activité de Flax Typhoon utilise des LOLBins et des outils légitimes ; la couverture repose sur les détections comportementales et la corrélation des EDR.
Une liste de contrôle pour un durcissement rapide ?
Apporter des correctifs aux services publics, appliquer l'AMF, réactiver l'ALN, restreindre l'accès RDP et VPN via l'accès conditionnel ou le saut d'hôte, activer les protections LSASS et surveiller l'utilisation de certutil/bitsadmin.
Où puis-je obtenir les détails officiels, les questions relatives à la chasse et les CIO ?
Le billet de blog de Microsoft contient l'analyse complète, les requêtes de chasse (KQL).