Tifón de voltaje chino APT apunta a entidades de EE. UU.
Recientemente se descubrió que el actor del estado-nación chino conocido como Volt Typhoon, también conocido como Bronze Silhouette, está realizando activamente operaciones de ciberespionaje desde mediados de 2020. El grupo, identificado por la empresa de seguridad cibernética CrowdStrike como Vanguard Panda, ha exhibido un oficio sofisticado para mantener un acceso prolongado a sus organizaciones objetivo.
De acuerdo con los hallazgos de CrowdStrike, Volt Typhoon ha utilizado consistentemente los exploits ManageEngine Self-service Plus como su punto de entrada inicial, seguido de shells web personalizados para garantizar un acceso persistente. También han empleado técnicas de vivir fuera de la tierra para el movimiento lateral dentro de las redes comprometidas.
Volt Typhoon apunta a organizaciones en los EE. UU.
Los objetivos principales de las operaciones de intrusión cibernética de Volt Typhoon han sido el gobierno de EE. UU., las entidades de defensa y las organizaciones de infraestructura crítica. Sus tácticas priorizan la seguridad operativa y se basan en una amplia gama de herramientas de código abierto para llevar a cabo actividades maliciosas a largo plazo contra un número limitado de víctimas.
El grupo ha demostrado una preferencia por el uso de web shells para la persistencia y se basa en binarios living-off-the-land en breves ráfagas de actividad para lograr sus objetivos. En un incidente específico dirigido a un cliente no revelado, Vanguard Panda aprovechó el servicio Zoho ManageEngine ADSelfService Plus que se ejecuta en un servidor Apache Tomcat para ejecutar comandos sospechosos relacionados con la enumeración de procesos y la conectividad de la red.
El análisis de CrowdStrike de los registros de acceso de Tomcat reveló solicitudes HTTP POST a /html/promotion/selfsdp.jspx, un shell web disfrazado de solución de seguridad de identidad legítima para evadir la detección. Es probable que este shell web se haya implementado meses antes del ataque real, lo que indica un amplio reconocimiento de la red objetivo.
Vulnerabilidad Probable vector de ataque para el APT chino
Si bien el método exacto utilizado por Vanguard Panda para violar el entorno de ManageEngine sigue sin estar claro, la evidencia apunta a la explotación de CVE-2021-40539, una vulnerabilidad crítica de omisión de autenticación que permite la ejecución remota de código. El actor de amenazas intentó ocultar sus huellas eliminando artefactos y manipulando los registros de acceso, pero su intento fracasó, lo que llevó al descubrimiento de shells web y puertas traseras adicionales.
Uno de estos descubrimientos incluye un archivo JSP obtenido de un servidor externo, que hace una puerta trasera al archivo "tomcat-websocket.jar" utilizando un archivo JAR relacionado llamado "tomcat-ant.jar". La versión con troyano de tomcat-websocket.jar incluye tres nuevas clases de Java (A, B y C), y A.class actúa como otro shell web capaz de ejecutar comandos codificados en Base64 y AES.
