Търсене
Close this search box.

Китайци използват невиждани досега тактики за атаки срещу критичната инфраструктура

Новооткритата китайска национална група, известна  като Volt Typhoon, е наблюдавана като активна  поне от средата на 2020 г., като хакерският екип е свързан с невиждани досега умения за запазване на отдалечен достъп до цели от интерес.

Констатациите идват от CrowdStrike, която проследява противника под името Vanguard Panda.

„Противникът последователно е използвал експлойти ManageEngine Self-service Plus за получаване на първоначален достъп, последвани от персонализирани уеб обвивки за постоянен достъп и техники за живеене на земята (LotL) за странично придвижване“, заявиха от компанията за киберсигурност.

Volt Typhoon, известна още като Bronze Silhouette, е група за кибершпионаж от Китай, която е свързана с операции за проникване в мрежи срещу американското правителство, отбраната и други организации от критичната инфраструктура.

Анализът на начина на действие на групата разкри, че тя набляга на оперативната сигурност, като внимателно използва обширен набор от инструменти с отворен код срещу ограничен брой жертви, за да извършва дългосрочни злонамерени действия.

Освен това тя е описана като група за заплахи, която „предпочита уеб обвивки за устойчивост и разчита на кратки изблици на активност, включващи предимно живеещи извън земята двоични файлове, за да постигне целите си“.

При един неуспешен инцидент, насочен към неуточнен клиент, извършителят се е насочил към услугата Zoho ManageEngine ADSelfService Plus, работеща на сървър Apache Tomcat, за да предизвика изпълнението на подозрителни команди, отнасящи се до изброяване на процеси и мрежова свързаност, наред с други.

„Действията на Vanguard Panda показват познаване на целевата среда поради бързата последователност на командите, както и наличието на конкретни вътрешни хост-имена и IP адреси за ping, отдалечени споделяния  и пълномощни в обикновен текст за използване за WMI“, заявиха от CrowdStrike.

При по-внимателно разглеждане на дневниците за достъп до Tomcat бяха открити няколко HTTP POST заявки към /html/promotion/selfsdp.jspx – уеб обвивка, която е маскирана като легитимно решение за сигурност на идентичността, за да се избегне откриването.

Смята се, че уеб обвивката е била внедрена близо шест месеца преди гореспоменатата дейност с ръце и клавиатура, което е показателно за обширно предварително разузнаване на целевата мрежа.

Въпреки че не е ясно веднага как Vanguard Panda е успяла да пробие средата на ManageEngine, всички признаци сочат към използването на CVE-2021-40539, критичен недостатък при заобикаляне на удостоверяването с последващо отдалечено изпълнение на код.

Подозира се, че извършителят е изтрил артефакти и е подправил дневниците за достъп, за да заличи съдебните следи. При очевидна грешка обаче процесът не е отчел изходните файлове на Java и файловете с компилирани класове, които са били генерирани в хода на атаката, което е довело до откриването на още уеб обвивки и задни врати.

Това включва JSP файл, който вероятно е изтеглен от външен сървър и който е предназначен за задна врата „tomcat-websocket.jar“, като използва допълнителен JAR файл, наречен „tomcat-ant.jar“, който също е изтеглен отдалечено чрез уеб обвивка, след което са извършени действия по почистване, за да се прикрият следите.

Троянизираната версия на tomcat-websocket.jar е снабдена с три нови Java класа, наречени A, B и C, като класът A.class функционира като друга уеб обвивка, способна да получава и изпълнява Base64-кодирани и AES-криптирани команди.

„Използването на задна библиотека Apache Tomcat е неразкрит досега TTP за постоянство, използван от Vanguard Panda“, заяви CrowdStrike, отбелязвайки с умерена увереност, че имплантът се използва, за да „позволи постоянен достъп до цели с висока стойност, които са подбрани след първоначалната фаза на достъп до операциите, използвайки тогава уязвимости от нулев ден“.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
Бъдете социални
Още по темата
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
07/05/2024

Amnesty International посоч...

Нарастващото количество технологии за наблюдение, които...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!