Kinijos voltų taifūnas APT nukreiptas į JAV subjektus

Neseniai buvo nustatyta, kad Kinijos nacionalinės valstybės veikėjas, žinomas kaip Volt Typhoon, dar vadinamas bronziniu siluetu, nuo 2020 m. vidurio aktyviai vykdo kibernetinio šnipinėjimo operacijas. Grupė, kurią kibernetinio saugumo įmonė „CrowdStrike“ įvardijo kaip „Vanguard Panda“, demonstravo sudėtingus prekybos amatus, kad išlaikytų ilgalaikę prieigą prie tikslinių organizacijų.

Remiantis „CrowdStrike“ išvadomis, „Volt Typhoon“ nuosekliai naudojo „ManageEngine Self-service Plus“ išnaudojimus kaip pradinį įėjimo tašką, o vėliau sekė pasirinktinius žiniatinklio apvalkalus, kad užtikrintų nuolatinę prieigą. Jie taip pat taikė gyvenimo ne žemėje metodus, skirtus judėjimui į šoną pažeistuose tinkluose.

„Volt Typhoon“ nusitaikė į organizacijas JAV

Pagrindiniai „Volt Typhoon“ kibernetinio įsibrovimo operacijų taikiniai buvo JAV vyriausybė, gynybos subjektai ir ypatingos svarbos infrastruktūros organizacijos. Jų taktika teikia pirmenybę veiklos saugumui, pasikliaujant platų atvirojo kodo įrankių asortimentu, kad būtų galima vykdyti ilgalaikę kenkėjišką veiklą prieš ribotą aukų skaičių.

Grupė pademonstravo, kad pirmenybę teikia žiniatinklio apvalkalų naudojimui, kad būtų ištverminga, ir, siekdama savo tikslų, pasikliauja tiesioginiais dvejetainiais failais trumpomis veiklos serijomis. Konkrečiame incidente, nukreiptame į neatskleistą klientą, „Vanguard Panda“ panaudojo „Zoho ManageEngine ADSelfService Plus“ paslaugą, veikiančią „Apache Tomcat“ serveryje, kad vykdytų įtartinas komandas, susijusias su procesų surašymu ir tinklo ryšiu.

„CrowdStrike“ atlikta „Tomcat“ prieigos žurnalų analizė atskleidė HTTP POST užklausas į /html/promotion/selfsdp.jspx, žiniatinklio apvalkalą, užmaskuotą kaip teisėtą tapatybės saugos sprendimą, siekiant išvengti aptikimo. Šis žiniatinklio apvalkalas greičiausiai buvo dislokuotas prieš kelis mėnesius iki tikrosios atakos, o tai rodo platų tikslinio tinklo žvalgymą.

Tikėtinos Kinijos APT pažeidžiamumo atakos vektorius

Nors tikslus metodas, kurį Vanguard Panda naudojo siekdamas pažeisti ManageEngine aplinką, lieka neaiškus, įrodymai rodo, kad naudojamas CVE-2021-40539 – svarbus autentifikavimo apėjimo pažeidžiamumas, leidžiantis nuotoliniu būdu vykdyti kodą. Grėsmių veikėjas bandė nuslėpti savo pėdsakus ištrindamas artefaktus ir sugadindamas prieigos žurnalus, tačiau jų bandymas nepavyko, todėl buvo aptikta papildomų žiniatinklio apvalkalų ir užpakalinių durų.

Vienas iš šių atradimų apima JSP failą, gautą iš išorinio serverio, kuris uždaro „tomcat-websocket.jar“ failą, naudodamas susijusį JAR failą, pavadintą „tomcat-ant.jar“. Trojanizuota tomcat-websocket.jar versija apima tris naujas Java klases (A, B ir C), o A.class tarnauja kaip dar vienas žiniatinklio apvalkalas, galintis vykdyti Base64 koduotas ir AES šifruotas komandas.