Chinesischer Volt-Taifun APT zielt auf US-Unternehmen

Kürzlich wurde entdeckt, dass der chinesische Nationalstaatsakteur Volt Typhoon, auch bekannt als Bronze Silhouette, seit Mitte 2020 aktiv Cyberspionageoperationen durchführt. Die Gruppe, die vom Cybersicherheitsunternehmen CrowdStrike als Vanguard Panda identifiziert wurde, hat raffiniertes Handwerk an den Tag gelegt, um einen längeren Zugang zu ihren Zielorganisationen aufrechtzuerhalten.

Den Erkenntnissen von CrowdStrike zufolge hat Volt Typhoon konsequent ManageEngine Self-Service Plus-Exploits als ersten Einstiegspunkt genutzt, gefolgt von benutzerdefinierten Web-Shells, um dauerhaften Zugriff sicherzustellen. Sie haben auch „Living-off-the-land“-Techniken zur seitlichen Bewegung innerhalb der gefährdeten Netzwerke eingesetzt.

Volt Taifun zielt auf Organisationen in den USA

Die Hauptziele der Cyber-Intrusion-Operationen von Volt Typhoon waren die US-Regierung, Verteidigungsbehörden und Organisationen kritischer Infrastruktur. Bei ihren Taktiken steht die Betriebssicherheit im Vordergrund und sie stützen sich auf eine umfassende Palette an Open-Source-Tools, um langfristige böswillige Aktivitäten gegen eine begrenzte Anzahl von Opfern durchzuführen.

Die Gruppe hat eine Vorliebe für die Verwendung von Web-Shells für die Persistenz gezeigt und verlässt sich in kurzen Aktivitätsausbrüchen auf außerhalb des Landes lebende Binärdateien, um ihre Ziele zu erreichen. Bei einem konkreten Vorfall, bei dem es um einen nicht genannten Kunden ging, nutzte Vanguard Panda den Zoho ManageEngine ADSelfService Plus-Dienst, der auf einem Apache Tomcat-Server ausgeführt wurde, um verdächtige Befehle im Zusammenhang mit Prozessaufzählung und Netzwerkkonnektivität auszuführen.

Die Analyse der Tomcat-Zugriffsprotokolle durch CrowdStrike ergab HTTP-POST-Anfragen an /html/promotion/selfsdp.jspx, eine Web-Shell, die als legitime Identitätssicherheitslösung getarnt ist, um einer Entdeckung zu entgehen. Diese Web-Shell wurde wahrscheinlich Monate vor dem eigentlichen Angriff bereitgestellt, was auf eine umfassende Aufklärung des Zielnetzwerks hinweist.

Schwachstelle wahrscheinlicher Angriffsvektor für das chinesische APT

Während die genaue Methode, mit der Vanguard Panda in die ManageEngine-Umgebung eindringt, unklar bleibt, deuten Beweise auf die Ausnutzung von CVE-2021-40539 hin, einer kritischen Sicherheitslücke zur Authentifizierungsumgehung, die die Ausführung von Code aus der Ferne ermöglicht. Der Bedrohungsakteur versuchte, seine Spuren zu verwischen, indem er Artefakte löschte und Zugriffsprotokolle manipulierte, doch sein Versuch scheiterte und führte zur Entdeckung weiterer Web-Shells und Hintertüren.

Eine dieser Entdeckungen umfasst eine von einem externen Server erhaltene JSP-Datei, die die Datei „tomcat-websocket.jar“ durch die Verwendung einer zugehörigen JAR-Datei namens „tomcat-ant.jar“ hintertürt. Die trojanisierte Version von tomcat-websocket.jar enthält drei neue Java-Klassen (A, B und C), wobei A.class als weitere Web-Shell dient, die Base64-codierte und AES-verschlüsselte Befehle ausführen kann.