【潛行攻擊】中國黑客大舉入侵台機構　多重方法低調刺探軍情

Microsoft 安全研究員最新捕獲到一個中國黑客組織 Flax Typhoon，指這個組織專門針對台灣機構進行間諜活動，由於黑客使用了受感染電腦內的帳戶權限、本身存在的系統功能及軟硬件漏洞，因此幾乎難以發現它的入侵！

雖然 Microsoft 發現了新的國家級黑客組織，不過，原來安全研究員已追蹤他們的活動一段頗長時間，最遠更可追溯至 2021 年中。

Flax Typhoon 採用離地攻擊

研究員指 Flax Typhoon 的特點是不著重開發惡意軟件或透過惡意軟件感染目標電腦，而是偏愛採用離地攻擊（living-off-the-land，又稱寄生攻擊），即利用受感染電腦內的合法工具來執行入侵工作，讓電腦內的安全工具認為是合法行為，然後不著痕跡地執行惡意指令。多年來網絡安全研究員更已為離地攻擊作更精細的分類，包括可按黑客使用的可執行檔案、程式碼或程式庫，歸結出 LoLBins、LoLScript 及 LoLLib 等方式。

根據 Microsoft 研究員的報告，這次 Flax Typhoon 入侵可分為多個階段。首先，黑客會先調查目標組織所採用的 VPN、資料庫等面向互聯網的應用工具，如發現存在已知漏洞，便會發動攻擊在內部取得立足點。其次，黑客便會注入一個容量僅 4KB 的 web shell 下載器 China Chopper，遙距執行惡意程序，如有需要更會利用 Juicy Potato 及 BadPotato 等開源工具提升帳戶權限。

順帶一提，China Chopper 雖然出現於 2012 年，但因其容量之小及惡意編碼被高度混淆化，因此很容易避過安全工具的檢測，深受黑客喜愛。

入侵活動低調難偵測

之後黑客便會利用權限關閉網絡級身分驗證（NLA）及濫用 Windows Sticky Keys 輔助服務功能，令他們可以毋須經過身分驗證便可進入 Windows 登錄頁面，以及將修改設定動作變成一般帳戶操作行為，減少安全工具的偵測，更容易長時間匿藏在目標電腦內。

最後，黑客會濫用 Windows 的預裝工具，讓黑客可以在電腦內安裝合法的 VPN 軟件如 SoftEther VPN，並將它改名為其他系統功能常用名稱，以掩飾傳送的數據，令活動更難被偵測。當成功落腳，黑客便會使用間諜軟件 Mimikatz，從作業系統盜取本地安全機構子系統服務（LSASS）進程內存和安全帳戶管理器（SAM）註冊表配置單元的敏感資訊。

由於入侵活動極為低調，Microsoft 現階段亦未能掌握 Flax Typhoon 的入侵目的，但就建議各機構應提升對外開放的設備及應用工具安全性，例如保持安全更新、啟用多重因素驗證（MFA）。另外，監控系統登錄表也有助發現可疑活動。

資料來源：https://www.bleepingcomputer.com/news/security/microsoft-stealthy-flax-typhoon-hackers-use-lolbins-to-evade-detection 及 https://www.securityweek.com/chinese-backed-apt-flax-typhoon-hacks-taiwan-with-minimal-malware-footprint