中国のボルト台風APTが米国企業を標的に
ボルト・タイフーン(ブロンズ・シルエットとも呼ばれる)として知られる中国の国民国家主体が、2020年半ばから積極的にサイバースパイ活動を行っていることが最近判明した。サイバーセキュリティ会社CrowdStrikeによってVanguard Pandaとして特定されたこのグループは、標的となった組織への長期的なアクセスを維持するための高度な手口を見せていた。
CrowdStrike の調査結果によると、Volt タイフーンは最初のエントリ ポイントとして ManageEngine Self-service Plus エクスプロイトを一貫して利用し、その後、永続的なアクセスを確保するためにカスタム Web シェルを利用していました。彼らはまた、侵害されたネットワーク内で横方向に移動するために、陸上から離れた場所で生活する手法も採用しています。
ボルト・タイフーン、米国の組織を標的に
ボルト・タイフーンのサイバー侵入作戦の主なターゲットは、米国政府、防衛機関、重要インフラ組織です。彼らの戦術は運用上のセキュリティを優先し、包括的なオープンソース ツールに依存して、限られた数の被害者に対して長期にわたる悪意のある活動を実行します。
このグループは、永続化のために Web シェルを使用することを好み、目的を達成するために短期間の活動で常駐するバイナリに依存していることを示しています。非公開の顧客を標的とした特定のインシデントでは、Vanguard PandaはApache Tomcatサーバー上で実行されているZoho ManageEngine ADSelfService Plusサービスを利用して、プロセスの列挙とネットワーク接続に関連する不審なコマンドを実行しました。
CrowdStrike による Tomcat アクセス ログの分析により、検出を回避するための正規の ID セキュリティ ソリューションを装った Web シェルである /html/promotion/selfsdp.jspx への HTTP POST リクエストが明らかになりました。この Web シェルは実際の攻撃の数か月前に展開されていた可能性があり、ターゲット ネットワークの大規模な偵察が行われたことを示しています。
中国の APT の脆弱性の可能性のある攻撃ベクトル
Vanguard Panda が ManageEngine 環境に侵入するために使用した正確な方法は依然として不明ですが、リモート コード実行を可能にする重大な認証バイパスの脆弱性である CVE-2021-40539 の悪用を示す証拠があります。攻撃者はアーティファクトの削除やアクセス ログの改ざんによって痕跡を隠蔽しようとしましたが、失敗に終わり、さらなる Web シェルとバックドアの発見につながりました。
これらの検出の 1 つに、外部サーバーから取得した JSP ファイルが含まれています。この JSP ファイルは、「tomcat-ant.jar」という関連する JAR ファイルを利用して、「tomcat-websocket.jar」ファイルをバックドアします。トロイの木馬化されたバージョンの tomcat-websocket.jar には 3 つの新しい Java クラス (A、B、および C) が含まれており、A.class は Base64 エンコードおよび AES 暗号化コマンドを実行できるさらに別の Web シェルとして機能します。