Le typhon chinois Volt APT cible des entités américaines

L'acteur d'État-nation chinois connu sous le nom de Volt Typhoon, également appelé Bronze Silhouette, a récemment été découvert comme menant activement des opérations de cyberespionnage depuis la mi-2020. Le groupe, identifié par la société de cybersécurité CrowdStrike sous le nom de Vanguard Panda, a fait preuve d'un savoir-faire sophistiqué pour maintenir un accès prolongé à ses organisations ciblées.

Selon les conclusions de CrowdStrike, Volt Typhoon a toujours utilisé les exploits ManageEngine Self-service Plus comme point d'entrée initial, suivis de shells Web personnalisés pour garantir un accès permanent. Ils ont également utilisé des techniques de vie hors de la terre pour les déplacements latéraux au sein des réseaux compromis.

Volt Typhoon cible des organisations aux États-Unis

Les principales cibles des opérations de cyber-intrusion de Volt Typhoon ont été le gouvernement américain, les entités de défense et les organisations d'infrastructures critiques. Leurs tactiques donnent la priorité à la sécurité opérationnelle, s'appuyant sur une gamme complète d'outils open source pour mener des activités malveillantes à long terme contre un nombre limité de victimes.

Le groupe a démontré une préférence pour l'utilisation de shells Web pour la persistance et s'appuie sur des binaires vivant hors de la terre lors de courtes périodes d'activité pour atteindre leurs objectifs. Lors d'un incident spécifique ciblant un client non divulgué, Vanguard Panda a utilisé le service Zoho ManageEngine ADSelfService Plus exécuté sur un serveur Apache Tomcat pour exécuter des commandes suspectes liées à l'énumération des processus et à la connectivité réseau.

L'analyse par CrowdStrike des journaux d'accès Tomcat a révélé des requêtes HTTP POST à /html/promotion/selfsdp.jspx, un shell Web déguisé en solution de sécurité d'identité légitime pour échapper à la détection. Ce shell Web avait probablement été déployé des mois avant l'attaque proprement dite, indiquant une reconnaissance approfondie du réseau cible.

Vulnérabilité Vecteur d'attaque probable pour l'APT chinois

Bien que la méthode exacte utilisée par Vanguard Panda pour violer l'environnement ManageEngine reste floue, les preuves indiquent l'exploitation de CVE-2021-40539, une vulnérabilité critique de contournement d'authentification qui permet l'exécution de code à distance. L'acteur malveillant a tenté de dissimuler ses traces en supprimant des artefacts et en altérant les journaux d'accès, mais leur tentative a échoué, ce qui a conduit à la découverte de shells Web et de portes dérobées supplémentaires.

L'une de ces découvertes comprend un fichier JSP obtenu à partir d'un serveur externe, qui détourne le fichier "tomcat-websocket.jar" en utilisant un fichier JAR associé appelé "tomcat-ant.jar". La version trojanisée de tomcat-websocket.jar comprend trois nouvelles classes Java (A, B et C), A.class servant encore d'autre shell Web capable d'exécuter des commandes codées en Base64 et cryptées en AES.

Par Zaib
June 26, 2023
Computer Security
Français
June 26, 2023
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.