A kínai Volt Typhoon APT amerikai entitásokat céloz meg

A Volt Typhoon néven ismert, Bronz Sziluettként is emlegetett kínai nemzetállami szereplőről a közelmúltban derült ki, hogy 2020 közepe óta aktívan folytat kiberkémkedést. A csoport, amelyet a CrowdStrike kiberbiztonsági cég Vanguard Pandaként azonosított, kifinomult kereskedelmi eszközöket mutatott be annak érdekében, hogy hosszan tartó hozzáférést biztosítson célszervezeteihez.

A CrowdStrike megállapításai szerint a Volt Typhoon következetesen a ManageEngine Self-service Plus exploitokat használta kezdeti belépési pontként, majd az egyedi webhéjakat a folyamatos hozzáférés biztosítására. Szárazföldön élő technikákat is alkalmaztak az oldalirányú mozgáshoz a veszélyeztetett hálózatokon belül.

A Volt Typhoon egyesült államokbeli szervezeteket céloz meg

A Volt Typhoon kiberbehatolási műveleteinek elsődleges célpontjai az Egyesült Államok kormánya, a védelmi szervezetek és a kritikus infrastruktúrával foglalkozó szervezetek voltak. Taktikájuk a működési biztonságot helyezi előtérbe, mivel a nyílt forráskódú eszközök átfogó skálájára támaszkodnak, hogy hosszú távú rosszindulatú tevékenységeket hajtsanak végre korlátozott számú áldozat ellen.

A csoport kimutatta, hogy előnyben részesíti a web shell-ek használatát a kitartás érdekében, és céljaik elérése érdekében a földön kívüli binárisokra támaszkodik rövid tevékenységi sorozatokban. Egy konkrét incidensben, amely egy nem titkolt ügyfelet céloz meg, a Vanguard Panda az Apache Tomcat szerveren futó Zoho ManageEngine ADSelfService Plus szolgáltatást használta fel a folyamatszámlálással és a hálózati csatlakozással kapcsolatos gyanús parancsok végrehajtására.

A CrowdStrike a Tomcat hozzáférési naplóinak elemzése során HTTP POST kéréseket tárt fel a /html/promotion/selfsdp.jspx címre, amely egy legitim személyazonosság-biztonsági megoldásnak álcázott webhéj az észlelés elkerülésére. Ezt a webhéjat valószínűleg hónapokkal a tényleges támadás előtt telepítették, ami a célhálózat kiterjedt felderítésére utal.

Sebezhetőség valószínű támadási vektora a kínai APT számára

Míg a Vanguard Panda által a ManageEngine környezet megsértésére használt pontos módszer továbbra is tisztázatlan, a bizonyítékok a CVE-2021-40539, egy kritikus hitelesítési megkerülő biztonsági rés kihasználására utalnak, amely távoli kódfuttatást tesz lehetővé. A fenyegetettség szereplője műtermékek törlésével és a hozzáférési naplók manipulálásával próbálta elrejteni a nyomaikat, de kísérletük kudarcba fulladt, ami további webhéjak és hátsó ajtók felfedezéséhez vezetett.

Az egyik ilyen felfedezés tartalmaz egy külső kiszolgálóról beszerzett JSP-fájlt, amely a "tomcat-websocket.jar" fájlt egy kapcsolódó "tomcat-ant.jar" JAR-fájl felhasználásával hátsó ajtóként nyitja meg. A tomcat-websocket.jar trójai változata három új Java osztályt (A, B és C) tartalmaz, az A.class pedig egy újabb webhéjként szolgál, amely képes Base64-kódolású és AES-titkosított parancsok végrehajtására.