Chinese Volt Typhoon APT retter sig mod amerikanske enheder

Den kinesiske nationalstatsaktør kendt som Volt Typhoon, også kaldet Bronze Silhouette, er for nylig blevet opdaget at have aktivt gennemført cyberspionageoperationer siden midten af 2020. Gruppen, identificeret af cybersikkerhedsfirmaet CrowdStrike som Vanguard Panda, har udstillet sofistikeret håndværk for at opretholde langvarig adgang til deres målrettede organisationer.

Ifølge CrowdStrikes resultater har Volt Typhoon konsekvent brugt ManageEngine Self-service Plus-udnyttelser som deres første indgangspunkt, efterfulgt af brugerdefinerede web-skaller for at sikre vedvarende adgang. De har også brugt teknikker til at leve uden for landet til sidebevægelse inden for de kompromitterede netværk.

Volt Typhoon er rettet mod organisationer i USA

De primære mål for Volt Typhoons cyberindtrængningsoperationer har været den amerikanske regering, forsvarsenheder og kritiske infrastrukturorganisationer. Deres taktik prioriterer operationel sikkerhed, idet de er afhængige af en omfattende række open source-værktøjer til at udføre langsigtede ondsindede aktiviteter mod et begrænset antal ofre.

Gruppen har demonstreret en præference for at bruge web-shells til vedholdenhed og er afhængig af at leve-off-the-land binære filer i korte udbrud af aktivitet for at nå deres mål. I en specifik hændelse rettet mod en ikke-oplyst kunde, udnyttede Vanguard Panda Zoho ManageEngine ADSelfService Plus-tjenesten, der kører på en Apache Tomcat-server til at udføre mistænkelige kommandoer relateret til procesoptælling og netværksforbindelse.

CrowdStrikes analyse af Tomcat-adgangslogfiler afslørede HTTP POST-anmodninger til /html/promotion/selfsdp.jspx, en web-shell forklædt som en legitim identitetssikkerhedsløsning for at undgå opdagelse. Denne web-shell var sandsynligvis blevet indsat måneder før selve angrebet, hvilket indikerer omfattende rekognoscering af målnetværket.

Sårbarhed Sandsynlig angrebsvektor for den kinesiske APT

Mens den nøjagtige metode, der bruges af Vanguard Panda til at bryde ManageEngine-miljøet, stadig er uklar, peger beviser på udnyttelsen af CVE-2021-40539, en kritisk autentificeringsomgåelsessårbarhed, der muliggør fjernudførelse af kode. Trusselsaktøren forsøgte at skjule deres spor ved at slette artefakter og manipulere med adgangslogfiler, men deres forsøg mislykkedes, hvilket førte til opdagelsen af yderligere web-skaller og bagdøre.

En af disse opdagelser inkluderer en JSP-fil hentet fra en ekstern server, som bagdøre "tomcat-websocket.jar"-filen ved at bruge en relateret JAR-fil kaldet "tomcat-ant.jar." Den trojanske version af tomcat-websocket.jar inkluderer tre nye Java-klasser (A, B og C), hvor A.class fungerer som endnu en web-shell, der er i stand til at udføre Base64-kodede og AES-krypterede kommandoer.