Το κινεζικό Volt Typhoon APT στοχεύει οντότητες των ΗΠΑ

Ο κινέζος ηθοποιός έθνους-κράτους γνωστός ως Volt Typhoon, γνωστός και ως Bronze Silhouette, ανακαλύφθηκε πρόσφατα ότι διεξάγει ενεργά επιχειρήσεις κατασκοπείας στον κυβερνοχώρο από τα μέσα του 2020. Η ομάδα, η οποία προσδιορίστηκε από την εταιρεία κυβερνοασφάλειας CrowdStrike ως Vanguard Panda, έχει παρουσιάσει εξελιγμένα εμπορικά έργα για να διατηρήσει παρατεταμένη πρόσβαση στους στοχευμένους οργανισμούς τους.

Σύμφωνα με τα ευρήματα του CrowdStrike, το Volt Typhoon έχει χρησιμοποιήσει με συνέπεια τα exploits του ManageEngine Self-service Plus ως αρχικό σημείο εισόδου, ακολουθούμενα από προσαρμοσμένα κελύφη ιστού για να εξασφαλίσει μόνιμη πρόσβαση. Έχουν επίσης χρησιμοποιήσει τεχνικές που ζουν εκτός της γης για πλευρική κίνηση εντός των παραβιασμένων δικτύων.

Ο Volt Typhoon στοχεύει οργανισμούς στις ΗΠΑ

Οι πρωταρχικοί στόχοι των επιχειρήσεων κυβερνοεισβολής του Volt Typhoon ήταν η κυβέρνηση των ΗΠΑ, οι αμυντικές οντότητες και οι οργανισμοί υποδομής ζωτικής σημασίας. Οι τακτικές τους δίνουν προτεραιότητα στην επιχειρησιακή ασφάλεια, βασιζόμενοι σε μια ολοκληρωμένη σειρά εργαλείων ανοιχτού κώδικα για την εκτέλεση μακροπρόθεσμων κακόβουλων δραστηριοτήτων κατά περιορισμένου αριθμού θυμάτων.

Η ομάδα έχει αποδείξει ότι προτιμά να χρησιμοποιεί κελύφη ιστού για επιμονή και βασίζεται σε δυαδικά αρχεία που ζουν εκτός της γης σε σύντομες εκρήξεις δραστηριότητας για την επίτευξη των στόχων τους. Σε ένα συγκεκριμένο περιστατικό που στόχευε έναν άγνωστο πελάτη, το Vanguard Panda χρησιμοποίησε την υπηρεσία Zoho ManageEngine ADSelfService Plus που εκτελείται σε διακομιστή Apache Tomcat για να εκτελέσει ύποπτες εντολές που σχετίζονται με την απαρίθμηση διεργασιών και τη συνδεσιμότητα δικτύου.

Η ανάλυση του CrowdStrike των αρχείων καταγραφής πρόσβασης Tomcat αποκάλυψε αιτήματα HTTP POST στο /html/promotion/selfsdp.jspx, ένα κέλυφος ιστού που μεταμφιέζεται ως μια νόμιμη λύση ασφάλειας ταυτότητας για την αποφυγή εντοπισμού. Αυτό το κέλυφος ιστού πιθανότατα είχε αναπτυχθεί μήνες πριν από την πραγματική επίθεση, υποδεικνύοντας εκτεταμένη αναγνώριση του δικτύου στόχου.

Διάνυσμα πιθανής επίθεσης ευπάθειας για το κινεζικό APT

Ενώ η ακριβής μέθοδος που χρησιμοποιείται από το Vanguard Panda για την παραβίαση του περιβάλλοντος ManageEngine παραμένει ασαφής, τα στοιχεία δείχνουν την εκμετάλλευση του CVE-2021-40539, μιας κρίσιμης ευπάθειας παράκαμψης ελέγχου ταυτότητας που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα. Ο ηθοποιός της απειλής προσπάθησε να κρύψει τα ίχνη τους διαγράφοντας αντικείμενα και παραβιάζοντας τα αρχεία καταγραφής πρόσβασης, αλλά η προσπάθειά τους απέτυχε, οδηγώντας στην ανακάλυψη πρόσθετων κελυφών ιστού και κερκόπορτων.

Μία από αυτές τις ανακαλύψεις περιλαμβάνει ένα αρχείο JSP που λαμβάνεται από έναν εξωτερικό διακομιστή, ο οποίος κλείνει το αρχείο "tomcat-websocket.jar" χρησιμοποιώντας ένα σχετικό αρχείο JAR που ονομάζεται "tomcat-ant.jar". Η trojanized έκδοση του tomcat-websocket.jar περιλαμβάνει τρεις νέες κλάσεις Java (A, B και C), με την A.class να χρησιμεύει ως ένα ακόμη κέλυφος ιστού ικανό να εκτελεί εντολές με κωδικοποίηση Base64 και κρυπτογραφημένες εντολές AES.