微軟

微軟揭露中國駭客組織Flax Typhoon約自2021年中發起的攻擊行動，其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位，但研究人員也有看到東南亞、北美、非洲的組織受害。

這些駭客鎖定可透過網際網路存取的伺服器，例如：VPN主機、網頁伺服器、SQL Server資料庫等，利用已知漏洞取得初期存取的權限，然後部署大小僅有4 KB的Web Shell中國菜刀（China Chopper），以便遠端執行命令，過程中駭客可能為了提升權限，他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞，取得管理者層級的權限。

接著，駭客利用登錄檔關閉網路層身分驗證（NLA），且透過粘滯鍵（Sticky Keys）建立遠端桌面連線（RDP），而能夠持續存取受害伺服器，甚至取得啟動終端機、導出記憶體內容的能力。

濫用開源VPN應用程式建立新的存取管道，並進一步用來攻擊其他受害電腦

特別的是，駭客為了跳脫他們設計的RDP只能存取內部網路的限制，再度透過寄生攻擊（LOLBins）手法，利用名為Invoke-WebRequest的PowerShell指令碼，或是Bitsadmin、certutil，部署SoftEther的VPN用戶端程式。再者，駭客也透過WinRM、WMIC來進行橫向移動。

攻擊者為了避免建立的VPN連線被發現，他們採取了多種措施。在部署之前，駭客會調查企業環境裡存在的VPN應用程式；再者，在大部分的攻擊行動裡，駭客會將VPN應用程式的可執行檔重新命名成Windows元件的名稱，如：conhost.exe或dllhost.exe，這些分別是名為Console Window Host Process、Component Object Model Surrogate元件的檔案名稱。其次，他們濫用SoftEther的VPN-over-HTTPS操作模式，使得相關網路流量被封裝成相容於HTTPS的資料，並透過TCP通訊協定443埠進行傳輸。如此一來，企業組織難以識別這種VPN連線與一般的HTTPS流量。

而上述的VPN連線駭客還進一步加以利用，透過SoftEther的VPN橋接功能，將網路攻擊流量路由到其他的受害系統，這些流量被用於網路掃描、漏洞掃描、弱點嘗試利用等。

一旦駭客成功建立上述的VPN存取管道，通常他們就會利用Mimikatz，鎖定本機安全認證子系統服務（LSASS）處理程序占用的記憶體內容、安全性帳號管理員（SAM）登錄檔配置的內容，來竊取本機用戶的密碼雜湊值，然後進一步存取受害組織網路環境的其他資源。此外，駭客還會列舉系統還原功能的還原點，目的是從中了解受害電腦狀態，或是抹除惡意活動的跡象。