Le cybergang APT41 n'a pas l'exclusivité du soutien de l'Etat chinois pour ses activités de cyberespionnage. Dans une étude, Microsoft a détaillé les agissements d'un autre groupe malveillant soutenu par la Chine baptisé Flax Typhoon. « Flax Typhoon obtient et maintient un accès à long terme dans les réseaux des entreprises taïwanaises avec une utilisation minimale de logiciels malveillants, en s'appuyant sur des outils intégrés au système d'exploitation, ainsi que sur des logiciels normalement inoffensifs pour rester discrètement dans ces réseaux », explique l'éditeur dans son billet de blog.

Actif depuis mi-2021, Flax Typhoon a ciblé des agences gouvernementales, des établissements d'enseignement, des entreprises de fabrication dans des secteurs critiques, ainsi que des sociétés en technologies de l'information installées à Taïwan. Selon la firme de Redmond, certaines victimes sont également originaires d'Asie du Sud-Est, d'Amérique du Nord et d'Afrique. « Flax Typhoon se concentre sur la persistance, les mouvements latéraux et l'accès aux informations d'identification », fait savoir Microsoft qui prévient par ailleurs que les techniques utilisées par Flax Typhoon pourraient être facilement réutilisées ailleurs.

Une stratégie de pénétration discrète et efficace

Contrairement à d'autres groupes APT qui n'hésitent pas à créer des outils personnalisés pour percer les défenses et s'installer dans les réseaux d'entreprises cibles, Flax Typhoon se distingue par l'utilisation des logiciels malveillants prêts à l'emploi et des utilitaires Windows natifs avec à la clé une attribution de ces campagnes malveillantes plus difficiles à déterminer. Microsoft a établi le chemin d'attaque employé par ce cybergang, à commencer par l'accès initial. « Flax Typhoon obtient un accès initial en exploitant des vulnérabilités connues dans des serveurs publics. Les services ciblés varient, mais comprennent des applications VPN, web, Java et SQL. La charge utile de ces exploits est un shell web, tel que China Chopper, qui permet l'exécution de code à distance sur le serveur compromis », explique le fournisseur.

Après avoir obtenu une élévation de leurs privilèges en exploitant des failles via des outils comme Juicy ou Bad Potato, les cyberattaquants s'immiscent dans les entrailles du système d'information visé via RDP. « L'acteur désactive l'authentification au niveau du réseau (NLA) pour RDP, remplace le binaire Sticky Keys et établit une connexion VPN », avance Microsoft. « Lorsque NLA est désactivé, tout utilisateur tentant d'accéder au système distant peut interagir avec l'écran de connexion Windows avant de s'authentifier, ce qui peut exposer le système distant à des actions malveillantes de la part de l'utilisateur qui se connecte. Flax Typhoon modifie une clé de registre pour désactiver NLA, ce qui lui permet d'accéder à l'écran d'ouverture de session de Windows sans s'authentifier, après quoi l'acteur utilisera le raccourci Sticky Keys ». Pour accéder à d'autres systèmes sur le réseau compromis, les cyberpirates utilisent LOLBins incluant Windows Remote Management (WinRM) et WMIC, pour de l'analyse réseau et des vulnérabilités. Flax Typhoon déploie fréquemment dans la foulée Mimikatz pour extraire automatiquement les mots de passe hachés des utilisateurs connectés au système local. Ces derniers étant ensuite soit craqués hors ligne, soit utilisés dans des attaques de type pass-the-hash (PtH) pour accéder à d'autres ressources sur un réseau compromis.

Un éventail d'actions pour se défendre

Des moyens existent pour contrer Flax Typhoon. A commencer par une bonne politique de gestion des vulnérabilités et des correctifs, en particulier sur les systèmes et les services exposés à l'internet public. « Les techniques d'accès aux informations d'identification utilisées peuvent également être atténuées par un durcissement adéquat du système », avance Microsoft. « Les entreprises touchées doivent évaluer l'ampleur de l'activité de Flax Typhoon dans leur réseau, supprimer les outils malveillants et l'infrastructure C2, et vérifier les journaux pour détecter les signes de comptes compromis qui pourraient avoir été utilisés à des fins malveillantes ».

Parmi les autres actions à mener, le fournisseur américain recommande aussi de surveiller le registre de Windows pour détecter les modifications non autorisées, utiliser des systèmes de surveillance du réseau et de détection des intrusions pour identifier le trafic inhabituel ou non autorisé. Il invite également à veiller à ce que les systèmes Windows soient mis à jour avec les derniers correctifs de sécurité, y compris MS16-075. Ou encore à atténuer le risque de compromission des comptes valides en appliquant des politiques MFA solides, à réduire la surface d'attaque, à durcir le processus Local Security Authority Subsystem Service (LSASS), à définir la valeur de registre WDigest UseLogonCredential via l'objet de stratégie de groupe pour réduire le risque de réussite du vidage de la mémoire du processus LSASS...