微软警告：新发现的中国APT威胁组针对台湾机构

关键要点

微软发现名为“Flax Typhoon”的APT高级持续性威胁团体自2021年中期以来针对台湾的“数十个”组织发起间谍活动。该团体主要依靠操作系统内置工具进行攻击，其行为引发了对用户潜在影响的“重大担忧”。随着中国和西方之间的紧张局势加剧，该组织的活动令网络安全专家高度关注。

微软表示，一支源自中国的先进持续性威胁APT组织“Flax Typhoon”近期已针对台湾的“数十个”组织进行间谍活动。该团体自2021年中期处于活跃状态，微软的威胁情报团队在一篇博客文章中表示，这一情况引发了公司对用户潜在影响的“重大担忧”。

根据微软的公告，“Flax Typhoon”的观察行为表明，该威胁组织意图在广泛行业中进行间谍行动，并尽可能长时间地保持对组织的访问。尽管该组织曾在北美、中东及非洲活动，但目前几乎专注于台湾的目标。然而，微软对该团体开发的“可在该地区以外轻松重用的技术”表示担忧。

国家级网络间谍活动的忧虑

微软发布对“Flax Typhoon”的研究恰逢中国与西方之间的紧张局势加剧，这也与中国在南海网络间谍活动的明显升级有关。在五月份，微软发现了另一个中国APT团体Volt Typhoon，该团体似乎专门针对关岛的关键基础设施组织这一地点是距离台湾最近的美国军事基地。

上周，Lumen的Black Lotus Labs披露了一起针对一系列台湾组织和美国国防部服务器的HiatusRAT恶意软件攻击，其研究人员称这可能与其他与中国有关的间谍活动相关联。

同时，微软也面临关于其是否充分保护客户免受以间谍活动为目标的国家行为者威胁的质疑。国土安全部的网络安全审查委员会正在调查“Storm0558”威胁团体如何利用私有的微软加密密钥伪造身份验证令牌，从而访问超25个组织的基于云的电子邮件账户。

隐秘技术

“Flax Typhoon”使用的恶意软件最小化，主要依赖于活用已存在工具livingofftheland等方法，比如利用目标操作系统内建的工具，以及直接操作键盘，以获得并维持台湾受害者网络的长期访问权。初步访问是通过利用公共服务器的已知漏洞和部署Web Shell如China Chopper实现的。

白鲸加速器ios

“由于这一活动依赖有效账户和活用已存在的二进制文件LOLBins，因此检测和缓解此攻击可能具有挑战性。受侵账户必须关闭或更改，受感染系统必须隔离并调查，”微软表示。

“Flax Typhoon”的活动一个不寻常之处在于，一旦建立了在受害者网络中的持久性，似乎并没有执行进一步的数据收集或信息外泄行为。

“防御Flax Typhoon所使用的手法始于漏洞和补丁管理，特别是针对暴露于公共互联网的系统和服务。也可以通过适当的系统加固来缓解所用凭证访问技术。”

美国的网络安全官员对来自中国、俄罗斯或其他敌对国家的黑客团体可能预先获得进入国内关键基础设施网络及其他高价值目标能力表示高度关注。这类立足点可能在竞争国家之间的战略时刻或紧张时期，成为未来