СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.04.2025
#ИБ#Инфра

Значительные угрозы APT-группы Flax Typhoon: анализ и рекомендации

Значительные угрозы APT-группы Flax Typhoon: анализ и рекомендации

Последние исследования показывают, что китайская государственная группа APT, известная как Flax Typhoon, также именуемая как RedJuliett и Ethereal Panda, расширила свои операции за пределами Тайваня. Отчеты указывают на их нацеливание на организации в Северной Америке, Африке и Юго-Восточной Азии, что вызывает серьезные опасения по поводу глобальной кибербезопасности.

Методы атаки Flax Typhoon

Группа Flax Typhoon применяет разнообразные методики для осуществления атак, которые включают:

  • Использование известных уязвимостей в серверах и приложениях, таких как VPN и Java.
  • Работа с контролируемыми хакерами VPN-серверами SoftEther для проведения разведки.
  • Удаленное выполнение кода через веб-оболочки, такие как China Chopper и AntSword.

После получения доступа к целевой сети, Flax Typhoon использует техники повышения привилегий, применяя инструменты с открытым исходным кодом, такие как Juicy Potato и BadPotato. Эти действия обеспечивают дополнительный доступ к системам, даже когда начальный доступ не предоставляет прав локального администратора.

Стратегия обеспечения постоянного доступа

Flax Typhoon использует несколько подходов для поддержания постоянного доступа к скомпрометированным системам:

  • Развертывание VPN-соединений для связи со своей инфраструктурой.
  • Переименование исполняемых файлов для маскировки под легальные процессы Windows.
  • Использование тактики бокового перемещения через законные инструменты, что упрощает доступ к критически важным процессам.

Связь с ботнетом Raptor Train

Ранее группа была связана с ботнетом Raptor Train, который продемонстрировал резкое увеличение с 60 000 до более чем 260 000 устройств. Оперативная стратегия этого ботнета включает:

  • Методы скрытности с использованием легального программного обеспечения для обеспечения устойчивости.
  • Развертывание специальной версии вредоносного ПО Mirai.

Рекомендации по кибербезопасности

Для защиты от угроз, подобных атакам Flax Typhoon, организациям рекомендуется:

  • Поддерживать строгий контроль за исправлениями в общедоступных системах.
  • Применять многофакторную аутентификацию.
  • Использовать принципы минимизации привилегий для предотвращения несанкционированного доступа.

Крайне важно также осуществлять постоянный мониторинг внешних служб и отслеживать параметры после ввода в эксплуатацию, включая веб-оболочки и боковые перемещения. Защита может быть усилена за счет использования средств SIEM и EDR, а также сегментации сети для ограничения горизонтального перемещения угроз в случае взлома.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: