L'APT del tifone cinese Volt prende di mira le entità statunitensi

Recentemente è stato scoperto che l'attore dello stato-nazione cinese noto come Volt Typhoon, noto anche come Bronze Silhouette, sta conducendo attivamente operazioni di spionaggio informatico dalla metà del 2020. Il gruppo, identificato dalla società di sicurezza informatica CrowdStrike come Vanguard Panda, ha esibito sofisticate abilità per mantenere un accesso prolungato alle loro organizzazioni mirate.

Secondo i risultati di CrowdStrike, Volt Typhoon ha costantemente utilizzato gli exploit ManageEngine Self-service Plus come punto di ingresso iniziale, seguiti da shell Web personalizzate per garantire un accesso persistente. Hanno anche impiegato tecniche che vivono fuori terra per il movimento laterale all'interno delle reti compromesse.

Volt Typhoon prende di mira le organizzazioni negli Stati Uniti

Gli obiettivi principali delle operazioni di intrusione informatica di Volt Typhoon sono stati il governo degli Stati Uniti, le entità di difesa e le organizzazioni di infrastrutture critiche. Le loro tattiche privilegiano la sicurezza operativa, basandosi su una gamma completa di strumenti open source per svolgere attività dannose a lungo termine contro un numero limitato di vittime.

Il gruppo ha dimostrato di preferire l'utilizzo di web shell per la persistenza e fa affidamento su binari che vivono fuori terra in brevi periodi di attività per raggiungere i propri obiettivi. In un incidente specifico rivolto a un cliente non divulgato, Vanguard Panda ha sfruttato il servizio Zoho ManageEngine ADSelfService Plus in esecuzione su un server Apache Tomcat per eseguire comandi sospetti relativi all'enumerazione dei processi e alla connettività di rete.

L'analisi di CrowdStrike dei log di accesso di Tomcat ha rivelato richieste HTTP POST a /html/promotion/selfsdp.jspx, una web shell camuffata da legittima soluzione di sicurezza dell'identità per eludere il rilevamento. Questa web shell era stata probabilmente implementata mesi prima dell'attacco vero e proprio, indicando un'ampia ricognizione della rete bersaglio.

Vulnerabilità probabile vettore di attacco per l'APT cinese

Mentre il metodo esatto utilizzato da Vanguard Panda per violare l'ambiente ManageEngine rimane poco chiaro, le prove indicano lo sfruttamento di CVE-2021-40539, una vulnerabilità di bypass dell'autenticazione critica che consente l'esecuzione di codice in modalità remota. L'autore della minaccia ha tentato di nascondere le proprie tracce eliminando artefatti e manomettendo i registri di accesso, ma il loro tentativo è fallito, portando alla scoperta di ulteriori web shell e backdoor.

Una di queste scoperte include un file JSP ottenuto da un server esterno, che esegue il backdoor del file "tomcat-websocket.jar" utilizzando un file JAR correlato chiamato "tomcat-ant.jar". La versione trojanizzata di tomcat-websocket.jar include tre nuove classi Java (A, B e C), con A.class che funge da ulteriore web shell in grado di eseguire comandi con codifica Base64 e AES.