Le typhon chinois Volt APT cible des entités américaines
![](https://www.cyclonis.com/images/2021/10/groovepost-765x430.jpg)
L'acteur d'État-nation chinois connu sous le nom de Volt Typhoon, également appelé Bronze Silhouette, a récemment été découvert comme menant activement des opérations de cyberespionnage depuis la mi-2020. Le groupe, identifié par la société de cybersécurité CrowdStrike sous le nom de Vanguard Panda, a fait preuve d'un savoir-faire sophistiqué pour maintenir un accès prolongé à ses organisations ciblées.
Selon les conclusions de CrowdStrike, Volt Typhoon a toujours utilisé les exploits ManageEngine Self-service Plus comme point d'entrée initial, suivis de shells Web personnalisés pour garantir un accès permanent. Ils ont également utilisé des techniques de vie hors de la terre pour les déplacements latéraux au sein des réseaux compromis.
Volt Typhoon cible des organisations aux États-Unis
Les principales cibles des opérations de cyber-intrusion de Volt Typhoon ont été le gouvernement américain, les entités de défense et les organisations d'infrastructures critiques. Leurs tactiques donnent la priorité à la sécurité opérationnelle, s'appuyant sur une gamme complète d'outils open source pour mener des activités malveillantes à long terme contre un nombre limité de victimes.
Le groupe a démontré une préférence pour l'utilisation de shells Web pour la persistance et s'appuie sur des binaires vivant hors de la terre lors de courtes périodes d'activité pour atteindre leurs objectifs. Lors d'un incident spécifique ciblant un client non divulgué, Vanguard Panda a utilisé le service Zoho ManageEngine ADSelfService Plus exécuté sur un serveur Apache Tomcat pour exécuter des commandes suspectes liées à l'énumération des processus et à la connectivité réseau.
L'analyse par CrowdStrike des journaux d'accès Tomcat a révélé des requêtes HTTP POST à /html/promotion/selfsdp.jspx, un shell Web déguisé en solution de sécurité d'identité légitime pour échapper à la détection. Ce shell Web avait probablement été déployé des mois avant l'attaque proprement dite, indiquant une reconnaissance approfondie du réseau cible.
Vulnérabilité Vecteur d'attaque probable pour l'APT chinois
Bien que la méthode exacte utilisée par Vanguard Panda pour violer l'environnement ManageEngine reste floue, les preuves indiquent l'exploitation de CVE-2021-40539, une vulnérabilité critique de contournement d'authentification qui permet l'exécution de code à distance. L'acteur malveillant a tenté de dissimuler ses traces en supprimant des artefacts et en altérant les journaux d'accès, mais leur tentative a échoué, ce qui a conduit à la découverte de shells Web et de portes dérobées supplémentaires.
L'une de ces découvertes comprend un fichier JSP obtenu à partir d'un serveur externe, qui détourne le fichier "tomcat-websocket.jar" en utilisant un fichier JAR associé appelé "tomcat-ant.jar". La version trojanisée de tomcat-websocket.jar comprend trois nouvelles classes Java (A, B et C), A.class servant encore d'autre shell Web capable d'exécuter des commandes codées en Base64 et cryptées en AES.