微软公司的研究人员周四表示,一个疑似与政府有关联的黑客组织正积极瞄准台湾的数十家机构,作为网络间谍活动的一部分。微软用"亚麻台风"(FlaxTyphoon)这个名称来描述这个总部设在中国的组织,该组织正在努力获得并保持对主要是台湾当地各种机构的长期访问权限,尽管在东南亚、北美和非洲也发现了一些受害者。该组织的目标包括政府机构、制造企业和科技公司。
了解更多:
https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/
这一消息是在拜登政府批准向台湾提供5亿美元的一揽子武器计划以及中国在台湾岛附近进行新一轮军事演习之后发布的。三个月前,微软和一个情报机构联盟透露,与中国有联系的黑客将关岛的电信系统作为攻击目标,这一行动可能为切断美国与其在东亚的军事资产之间的通信奠定了基础。
微软周四的报告描述了一个相当隐蔽的行动者,它在行动中使用了极少量的恶意软件,而是依赖于受害者系统中已有的工具,"以及一些正常的良性软件"。微软研究人员没有观察到该组织利用其对台湾系统的访问权限开展其他行动,但指出该组织使用的"技术很容易在该地区以外的其他行动中重复使用,并将受益于更广泛的行业能见度"。
该公司在博客中说:"虽然我们对这些威胁的可视性使我们有能力向客户部署检测,但对该行为体活动的其他部分缺乏可视性迫使我们推动更广泛的社区意识,以进一步调查和保护整个安全生态系统。"
研究人员指出,FlaxTyphoon自2021年年中开始活跃,已知它使用了ChinaChopper网页外壳,Hafnium也曾使用过该外壳,Hafnium是一个有国家支持的中国黑客组织,它在2021年3月披露的间谍活动中成功利用了微软ExchangeServer软件中的多个零日漏洞。同年晚些时候,联邦调查局入侵了受害者服务器,删除了Hafnium恶意软件。
据微软称,FlaxTyphoon还被观察到使用Metasploit(一种流行的渗透测试框架)、JuicyPotato权限升级工具、Mimikatz(一种数据渗透工具)和SoftEther虚拟专用网络(VPN)客户端。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】