360 Responseでハイブリッド攻撃の封じ込めを自動化

ハイブリッド攻撃の封じ込めを自動化する 360 Response >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
主導のアクター

Flax Typhoon

  1. ステータス:
    アクティブ
  1. ステータス:
    アクティブ

Flax Typhoonは中国を拠点とするサイバースパイグループで、従来のマルウェアに頼ることなく、一般向けのサービスを悪用し、正規のソフトウェアを使用してステルス的に長期的なアクセスを維持することで組織に潜入します。

Flax TyphoonのTTPの検知
貴社はFlax Typhoonの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

Flax Typhoonの起源

Flax Typhoonは、Microsoftが2021年半ばから追跡している中国ベースの中国を拠点とする国家支援型の活動グループです。このグループは、長期的なアクセスとスパイ活動に重点を置き、独自のマルウェアをほとんど使用せずに活動しています。その代わりに、標準のシステムバイナリ(Living-off-the-Land Binaries)や正規のサードパーティ製ソフトウェア、Webシェル、そしてハンズオンキーボードによる手動操作を多用し、標的ネットワーク内で静かに存在を維持します。Microsoftは、主に台湾の組織を標的としたキャンペーンをこのグループに帰属させていますが、他の地域でも活動が確認されています。

Flax Typhoonの標的国

活動は台湾に集中していますが、東南アジア、北米、アフリカでも被害者が出ています。ツールやテクニックは再利用可能であり、この地域以外でも適用可能です。

Flax Typhoonの対象業界

Flax Typhoonは、主に政府機関、教育機関、重要な製造業、情報技術機関を標的としています。このキャンペーンは、破壊的というよりむしろ収集志向であり、スパイの目的と一致しています。

Federal

Manufacturing

Critical National Infrastructure (CNI)

Higher Education

Flax Typhoonの被害対象

Microsoftによると、被害を受けた組織は数十にのぼり、インターネットに面したサーバー、VPNゲートウェイ、ウェブ、Java、SQLサービスを実行しているサーバーなどが被害を受けています。最初のアクセスは、一般的に公開サービスとウェブシェルを利用します。

攻撃方法

Flax Typhoonの攻撃方法

初期アクセス
特権エスカレーション
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

公開アプリケーションやサービスの既知の脆弱性を悪用し、China Chopperのようなウェブシェルを展開します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

公開されているオープンソースの特権昇格ツール(Juicy Potato、BadPotato、およびその亜種)と既知の脆弱性を悪用して、侵害されたホストの特権を昇格させます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

RDP パーシステンスの有効化、ネットワーク レベル認証 (NLA) の無効化、アクセシビリティ バイナリ (Sticky Keys/sethc.exe) の置き換え、アクター インフラストラクチャにトラフィックをトンネリングする VPN クライアントのインストール/設定により、長期的なアクセスを確立します。正当なアカウントで動作し、LOLBinsと署名されたシステム・バイナリ(certutil、bitsadminなど)を使用し、検出を減らすために重いmalware 避けます。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Mimikatz やその他の資格情報ダンピング手法を用いて、LSASS から資格情報やメモリをダンプします。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

確立されたVPNトンネルと正当なリモートサービスを使用してネットワークをスキャンし、ラテラルムーブします。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

内蔵ユーティリティとリモートサービスを活用して、他のシステムを調査し、アクセスします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

コマンドや軽量ツールをインタラクティブに実行し、認証情報や設定情報を収集し、確立されたトンネルやプロキシングホストを経由してデータを流出させます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

Microsoft は本キャンペーンにおいて大規模な破壊行為を確認しておらず、この活動は破壊ではなく、秘匿性の高いアクセスと情報収集に焦点を当てていると見られます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

公開アプリケーションやサービスの既知の脆弱性を悪用し、China Chopperのようなウェブシェルを展開します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

公開されているオープンソースの特権昇格ツール(Juicy Potato、BadPotato、およびその亜種)と既知の脆弱性を悪用して、侵害されたホストの特権を昇格させます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

RDP パーシステンスの有効化、ネットワーク レベル認証 (NLA) の無効化、アクセシビリティ バイナリ (Sticky Keys/sethc.exe) の置き換え、アクター インフラストラクチャにトラフィックをトンネリングする VPN クライアントのインストール/設定により、長期的なアクセスを確立します。正当なアカウントで動作し、LOLBinsと署名されたシステム・バイナリ(certutil、bitsadminなど)を使用し、検出を減らすために重いmalware 避けます。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Mimikatz やその他の資格情報ダンピング手法を用いて、LSASS から資格情報やメモリをダンプします。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

確立されたVPNトンネルと正当なリモートサービスを使用してネットワークをスキャンし、ラテラルムーブします。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
ラテラルムーブ

内蔵ユーティリティとリモートサービスを活用して、他のシステムを調査し、アクセスします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

コマンドや軽量ツールをインタラクティブに実行し、認証情報や設定情報を収集し、確立されたトンネルやプロキシングホストを経由してデータを流出させます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

Microsoft は本キャンペーンにおいて大規模な破壊行為を確認しておらず、この活動は破壊ではなく、秘匿性の高いアクセスと情報収集に焦点を当てていると見られます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト
MITRE ATT&CK マッピング

Flax Typhoonが使用したTTP

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
TA0002: Execution
No items found.
TA0003: Persistence
T1505
Server Software Component
T1546
Event Triggered Execution
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1546
Event Triggered Execution
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出

Vectra AIでFlax Typhoonを検知する方法

External Remote Access

Suspicious Admin

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

貴社はFlax Typhoonの攻撃に対して安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

Flax Typhoonは破壊的なランサムウェアなのか、それともスパイ活動に特化したものなのか?

このアクターにとって、何が検出を難しくしているのか?

侵害の疑いをトリアージする際、どのアーティファクトを最優先すべきか?

使用するハンティングクエリーや検出ルールは公開されていますか?

マイクロソフトがリストアップしたIPをブロックすべきか?

検出後の修復の優先順位は?

このグループを発見するために最も価値のあるテレメトリーは何か?

標準的なAV製品は工具を検知 のか?

迅速な硬化チェックリストは?

公式詳細、ハントに関する問い合わせ、IOCはどこで入手できますか?