Новооткритата китайска национална група, известна като Volt Typhoon, е наблюдавана като активна поне от средата на 2020 г., като хакерският екип е свързан с невиждани досега умения за запазване на отдалечен достъп до цели от интерес.
Констатациите идват от CrowdStrike, която проследява противника под името Vanguard Panda.
„Противникът последователно е използвал експлойти ManageEngine Self-service Plus за получаване на първоначален достъп, последвани от персонализирани уеб обвивки за постоянен достъп и техники за живеене на земята (LotL) за странично придвижване“, заявиха от компанията за киберсигурност.
Volt Typhoon, известна още като Bronze Silhouette, е група за кибершпионаж от Китай, която е свързана с операции за проникване в мрежи срещу американското правителство, отбраната и други организации от критичната инфраструктура.
Анализът на начина на действие на групата разкри, че тя набляга на оперативната сигурност, като внимателно използва обширен набор от инструменти с отворен код срещу ограничен брой жертви, за да извършва дългосрочни злонамерени действия.
Освен това тя е описана като група за заплахи, която „предпочита уеб обвивки за устойчивост и разчита на кратки изблици на активност, включващи предимно живеещи извън земята двоични файлове, за да постигне целите си“.
При един неуспешен инцидент, насочен към неуточнен клиент, извършителят се е насочил към услугата Zoho ManageEngine ADSelfService Plus, работеща на сървър Apache Tomcat, за да предизвика изпълнението на подозрителни команди, отнасящи се до изброяване на процеси и мрежова свързаност, наред с други.
„Действията на Vanguard Panda показват познаване на целевата среда поради бързата последователност на командите, както и наличието на конкретни вътрешни хост-имена и IP адреси за ping, отдалечени споделяния и пълномощни в обикновен текст за използване за WMI“, заявиха от CrowdStrike.
При по-внимателно разглеждане на дневниците за достъп до Tomcat бяха открити няколко HTTP POST заявки към /html/promotion/selfsdp.jspx – уеб обвивка, която е маскирана като легитимно решение за сигурност на идентичността, за да се избегне откриването.
Смята се, че уеб обвивката е била внедрена близо шест месеца преди гореспоменатата дейност с ръце и клавиатура, което е показателно за обширно предварително разузнаване на целевата мрежа.
Въпреки че не е ясно веднага как Vanguard Panda е успяла да пробие средата на ManageEngine, всички признаци сочат към използването на CVE-2021-40539, критичен недостатък при заобикаляне на удостоверяването с последващо отдалечено изпълнение на код.
Подозира се, че извършителят е изтрил артефакти и е подправил дневниците за достъп, за да заличи съдебните следи. При очевидна грешка обаче процесът не е отчел изходните файлове на Java и файловете с компилирани класове, които са били генерирани в хода на атаката, което е довело до откриването на още уеб обвивки и задни врати.
Това включва JSP файл, който вероятно е изтеглен от външен сървър и който е предназначен за задна врата „tomcat-websocket.jar“, като използва допълнителен JAR файл, наречен „tomcat-ant.jar“, който също е изтеглен отдалечено чрез уеб обвивка, след което са извършени действия по почистване, за да се прикрият следите.
Троянизираната версия на tomcat-websocket.jar е снабдена с три нови Java класа, наречени A, B и C, като класът A.class функционира като друга уеб обвивка, способна да получава и изпълнява Base64-кодирани и AES-криптирани команди.
„Използването на задна библиотека Apache Tomcat е неразкрит досега TTP за постоянство, използван от Vanguard Panda“, заяви CrowdStrike, отбелязвайки с умерена увереност, че имплантът се използва, за да „позволи постоянен достъп до цели с висока стойност, които са подбрани след първоначалната фаза на достъп до операциите, използвайки тогава уязвимости от нулев ден“.
