Новооткритата китайска национална група, известна  като Volt Typhoon, е наблюдавана като активна  поне от средата на 2020 г., като хакерският екип е свързан с невиждани досега умения за запазване на отдалечен достъп до цели от интерес.

Констатациите идват от CrowdStrike, която проследява противника под името Vanguard Panda.

„Противникът последователно е използвал експлойти ManageEngine Self-service Plus за получаване на първоначален достъп, последвани от персонализирани уеб обвивки за постоянен достъп и техники за живеене на земята (LotL) за странично придвижване“, заявиха от компанията за киберсигурност.

Volt Typhoon, известна още като Bronze Silhouette, е група за кибершпионаж от Китай, която е свързана с операции за проникване в мрежи срещу американското правителство, отбраната и други организации от критичната инфраструктура.

Анализът на начина на действие на групата разкри, че тя набляга на оперативната сигурност, като внимателно използва обширен набор от инструменти с отворен код срещу ограничен брой жертви, за да извършва дългосрочни злонамерени действия.

Освен това тя е описана като група за заплахи, която „предпочита уеб обвивки за устойчивост и разчита на кратки изблици на активност, включващи предимно живеещи извън земята двоични файлове, за да постигне целите си“.

При един неуспешен инцидент, насочен към неуточнен клиент, извършителят се е насочил към услугата Zoho ManageEngine ADSelfService Plus, работеща на сървър Apache Tomcat, за да предизвика изпълнението на подозрителни команди, отнасящи се до изброяване на процеси и мрежова свързаност, наред с други.

„Действията на Vanguard Panda показват познаване на целевата среда поради бързата последователност на командите, както и наличието на конкретни вътрешни хост-имена и IP адреси за ping, отдалечени споделяния  и пълномощни в обикновен текст за използване за WMI“, заявиха от CrowdStrike.

При по-внимателно разглеждане на дневниците за достъп до Tomcat бяха открити няколко HTTP POST заявки към /html/promotion/selfsdp.jspx – уеб обвивка, която е маскирана като легитимно решение за сигурност на идентичността, за да се избегне откриването.

Смята се, че уеб обвивката е била внедрена близо шест месеца преди гореспоменатата дейност с ръце и клавиатура, което е показателно за обширно предварително разузнаване на целевата мрежа.

Въпреки че не е ясно веднага как Vanguard Panda е успяла да пробие средата на ManageEngine, всички признаци сочат към използването на CVE-2021-40539, критичен недостатък при заобикаляне на удостоверяването с последващо отдалечено изпълнение на код.

Подозира се, че извършителят е изтрил артефакти и е подправил дневниците за достъп, за да заличи съдебните следи. При очевидна грешка обаче процесът не е отчел изходните файлове на Java и файловете с компилирани класове, които са били генерирани в хода на атаката, което е довело до откриването на още уеб обвивки и задни врати.

Това включва JSP файл, който вероятно е изтеглен от външен сървър и който е предназначен за задна врата „tomcat-websocket.jar“, като използва допълнителен JAR файл, наречен „tomcat-ant.jar“, който също е изтеглен отдалечено чрез уеб обвивка, след което са извършени действия по почистване, за да се прикрият следите.

Троянизираната версия на tomcat-websocket.jar е снабдена с три нови Java класа, наречени A, B и C, като класът A.class функционира като друга уеб обвивка, способна да получава и изпълнява Base64-кодирани и AES-криптирани команди.

„Използването на задна библиотека Apache Tomcat е неразкрит досега TTP за постоянство, използван от Vanguard Panda“, заяви CrowdStrike, отбелязвайки с умерена увереност, че имплантът се използва, за да „позволи постоянен достъп до цели с висока стойност, които са подбрани след първоначалната фаза на достъп до операциите, използвайки тогава уязвимости от нулев ден“.