Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. 国家アクター

亜麻台風

フラックス・タイフーンは中国を拠点とするサイバースパイ・グループで、従来のmalware頼ることなく、一般向けのサービスを悪用し、正規のソフトウェアを使用してステルス的に長期的なアクセスを維持することで組織に潜入する。

検知亜麻タイフーンのTTP
あなたの組織は亜麻台風の攻撃から安全か?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

亜麻台風の起源

Flax Typhoonは、マイクロソフトが2021年半ばから追跡している中国ベースの国家活動グループである。このグループは、長期的なアクセスとスパイ活動に重点を置き、特注のmalware最小限に抑えて活動しています。その代わりに、このグループは、標的のネットワークで静かに存在感を維持するために、生きたバイナリ、正規のサードパーティ製ソフトウェア、Webシェル、およびハンズオン・キーボード・アクティビティに大きく依存しています。マイクロソフトは、主に台湾の組織に対するキャンペーンをこのグループによるものだとしていますが、他の場所でも活動が確認されています。

亜麻台風の対象国

活動は台湾に集中しており、東南アジア、北米、アフリカでも被害者が出ている。ツールやテクニックは再利用可能であり、この地域以外でも適用可能である。

亜麻台風の対象産業

フラックス・タイフーンは、主に政府機関、教育機関、重要な製造業、情報技術機関を標的としている。このキャンペーンは、破壊的というよりむしろ収集志向であり、スパイの目的と一致している。

Federal

Manufacturing

Critical National Infrastructure (CNI)

Technology

Higher Education

亜麻台風の犠牲者

マイクロソフト社によると、被害を受けた組織は数十にのぼり、インターネットに面したサーバー、VPNゲートウェイ、ウェブ、Java、SQLサービスを実行しているサーバーなどが被害を受けている。最初のアクセスは、一般的に公開サービスとウェブシェルを利用する。

攻撃方法

亜麻台風の攻撃方法

初期アクセス
特権エスカレーション
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

公開アプリケーションやサービスの既知の脆弱性を悪用し、China Chopperのようなウェブシェルを展開します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

公開されているオープンソースの特権昇格ツール(Juicy Potato、BadPotato、およびその亜種)と既知の脆弱性を悪用して、侵害されたホストの特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

RDP パーシステンスの有効化、ネットワーク レベル認証 (NLA) の無効化、アクセシビリティ バイナリ (Sticky Keys/sethc.exe) の置き換え、アクター インフラストラクチャにトラフィックをトンネリングする VPN クライアントのインストール/設定により、長期的なアクセスを確立します。正当なアカウントで動作し、LOLBinsと署名されたシステム・バイナリ(certutil、bitsadminなど)を使用し、検出を減らすために重いmalware 避けます。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Mimikatzやその他のクレデンシャルダンプ技術などのツールを使って、LSASSからクレデンシャルとメモリをダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

確立されたVPNトンネルと正当なリモート・サービスを使用してネットワークをスキャンし、横方向に移動する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

内蔵ユーティリティとリモート・サービスを活用して、他のシステムを調査し、アクセスする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

コマンドや軽量ツールをインタラクティブに実行し、認証情報や設定情報を収集し、確立されたトンネルやプロキシングホストを経由してデータを流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

マイクロソフトは、このキャンペーンで広範な破壊的行動を観察していない。この活動は、妨害行為というよりも、むしろステルスアクセスと収集に重点を置いているようだ。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

公開アプリケーションやサービスの既知の脆弱性を悪用し、China Chopperのようなウェブシェルを展開します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

公開されているオープンソースの特権昇格ツール(Juicy Potato、BadPotato、およびその亜種)と既知の脆弱性を悪用して、侵害されたホストの特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

RDP パーシステンスの有効化、ネットワーク レベル認証 (NLA) の無効化、アクセシビリティ バイナリ (Sticky Keys/sethc.exe) の置き換え、アクター インフラストラクチャにトラフィックをトンネリングする VPN クライアントのインストール/設定により、長期的なアクセスを確立します。正当なアカウントで動作し、LOLBinsと署名されたシステム・バイナリ(certutil、bitsadminなど)を使用し、検出を減らすために重いmalware 避けます。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Mimikatzやその他のクレデンシャルダンプ技術などのツールを使って、LSASSからクレデンシャルとメモリをダンプする。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

確立されたVPNトンネルと正当なリモート・サービスを使用してネットワークをスキャンし、横方向に移動する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
ラテラルムーブ

内蔵ユーティリティとリモート・サービスを活用して、他のシステムを調査し、アクセスする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

コマンドや軽量ツールをインタラクティブに実行し、認証情報や設定情報を収集し、確立されたトンネルやプロキシングホストを経由してデータを流出させる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

マイクロソフトは、このキャンペーンで広範な破壊的行動を観察していない。この活動は、妨害行為というよりも、むしろステルスアクセスと収集に重点を置いているようだ。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト
MITRE ATT&CK マッピング

亜麻タイフーンが使用したTTP

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
TA0002: Execution
No items found.
TA0003: Persistence
T1505
Server Software Component
T1546
Event Triggered Execution
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1546
Event Triggered Execution
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出

Vectra AIで亜麻タイフーンを検知 方法

External Remote Access

Suspicious Admin

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

あなたの組織は亜麻台風の攻撃から安全か?

攻撃の危険性を評価する

よくあるご質問(FAQ)

Flax Typhoonは破壊的なランサムウェアなのか、それともスパイ活動に特化したものなのか?

この俳優にとって、何が検出を難しくしているのか?

侵害の疑いをトリアージする際、どのアーティファクトを最優先すべきか?

使用するハンティングクエリーや検出ルールは公開されていますか?

マイクロソフトがリストアップしたIPをブロックすべきか?

検出後の修復の優先順位は?

このグループを発見するために最も価値のあるテレメトリーは何か?

標準的なAV製品は工具を検知 のか?

迅速な硬化チェックリストは?

公式詳細、狩猟に関する問い合わせ、IOCはどこで入手できますか?