Flax Typhoon es un actor de amenazas cibernéticas que utiliza software legítimo para obtener acceso no autorizado a organizaciones en Taiwán.
El grupo utiliza técnicas avanzadas, incluidas las utilizadas anteriormente por otro atacante conocido como “Storm-0558”, para infiltrarse en los sistemas y extraer información confidencial.
Los investigadores de ciberseguridad de VulnCheck descubrieron recientemente que la botnet Flax Typhoon estaba explotando activamente 66 vulnerabilidades en varios dispositivos.
La botnet Flax Typhoon explota 66 vulnerabilidades
Las agencias de inteligencia Five Eyes (FBI, U.S. Cyber Command, NSA, agencias de Australia, Nueva Zelanda, Canadá y el Reino Unido) han emitido un aviso conjunto de ciberseguridad sobre una botnet vinculada a China llamada Flax Typhoon.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Esta botnet explota 66 vulnerabilidades específicas (CVE) en enrutadores, dispositivos IoT y aplicaciones habilitadas para la web.
A continuación se muestra una lista de todas las tecnologías y vulnerabilidades a las que se dirige la botnet Flax Typhoon.
Apache (10 CVE) Cisco (5 CVE) Zyxel (3 CVE) QNAP (3 CVE) Fortinet (3 CVE) Draytek (3 CVE) WordPress (2 CVE) Telesquare (2 CVE) Ivanti (2 CVE) IBM (2 CVE) F5 (2 CVE) Contec (2 CVE) Chamilo (2 CVE)
Estados Unidos fue el objetivo principal, albergando el “47,9%” de los dispositivos comprometidos, seguido por Vietnam (8%) y Alemania (7,2%).
El alcance de la botnet se extiende por América del Norte, Europa y Asia. De las 66 vulnerabilidades, la base de datos VulnCheck KEV originalmente incluía 41, mientras que el catálogo KEV de CISA enumeraba 27.
Vulnerabilidades atacadas por la botnet Flax Typhoon (Fuente – VulnCheck)
Sin embargo, desde entonces VulnCheck se actualizó para incluir los 66 CVE.
Antes de este aviso, se sabía que el 71,2 % de estas vulnerabilidades estaban explotadas o utilizadas como armas, el 16,7 % tenía un código de explotación de prueba de concepto y el 12,1 % tenía un código de explotación de prueba de concepto. No había evidencia de un exploit publicado.
Dado el alto perfil de los dispositivos afectados, esta operación de botnet podría amenazar particularmente la infraestructura crítica en los Estados Unidos.
Además de esto, este aviso proporciona importantes indicadores de compromiso y datos geográficos sobre los dispositivos afectados, con el objetivo de aumentar la conciencia sobre esta amenaza y fortalecer las defensas de ciberseguridad.
medidas de mitigación
Todas las mitigaciones se enumeran a continuación.
Deshabilite los servicios y puertos no utilizados. Implementar la segmentación de la red. Supervise el tráfico elevado de la red y aplique parches y actualizaciones. Reemplace la contraseña predeterminada por una contraseña segura. Reemplazar equipos que hayan llegado al final de su vida útil.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
Flax Typhoon’s Botnet Actively Exploiting 66 Vulnerabilities In Various Devices
