Chinese Volt Typhoon APT retter seg mot amerikanske enheter

Den kinesiske nasjonalstatsaktøren kjent som Volt Typhoon, også referert til som Bronze Silhouette, har nylig blitt oppdaget å drive aktivt cyberspionasjeoperasjoner siden midten av 2020. Gruppen, identifisert av nettsikkerhetsselskapet CrowdStrike som Vanguard Panda, har vist sofistikert håndverk for å opprettholde langvarig tilgang til sine målrettede organisasjoner.

I følge CrowdStrikes funn, har Volt Typhoon konsekvent brukt ManageEngine Self-service Plus-utnyttelser som deres første inngangspunkt, etterfulgt av tilpassede web-skall for å sikre vedvarende tilgang. De har også brukt teknikker for å leve utenfor landet for sideveis bevegelse innenfor de kompromitterte nettverkene.

Volt Typhoon retter seg mot organisasjoner i USA

De primære målene for Volt Typhoons cyberinntrengningsoperasjoner har vært den amerikanske regjeringen, forsvarsenheter og kritiske infrastrukturorganisasjoner. Taktikken deres prioriterer operasjonell sikkerhet, og er avhengig av et omfattende utvalg av åpen kildekode-verktøy for å utføre langsiktige ondsinnede aktiviteter mot et begrenset antall ofre.

Gruppen har vist en preferanse for å bruke nettskjell for utholdenhet og er avhengig av å leve-off-the-land binærfiler i korte støt av aktivitet for å nå sine mål. I en spesifikk hendelse rettet mot en ikke avslørt kunde, utnyttet Vanguard Panda Zoho ManageEngine ADSelfService Plus-tjenesten som kjører på en Apache Tomcat-server for å utføre mistenkelige kommandoer relatert til prosessoppregning og nettverkstilkobling.

CrowdStrikes analyse av Tomcat-tilgangslogger avslørte HTTP POST-forespørsler til /html/promotion/selfsdp.jspx, et nettskall forkledd som en legitim identitetssikkerhetsløsning for å unngå oppdagelse. Dette nettskallet hadde sannsynligvis blitt utplassert måneder før selve angrepet, noe som indikerer omfattende rekognosering av målnettverket.

Sårbarhet Sannsynlig angrepsvektor for den kinesiske APT

Selv om den eksakte metoden som brukes av Vanguard Panda for å bryte ManageEngine-miljøet fortsatt er uklar, peker bevis på utnyttelsen av CVE-2021-40539, et kritisk autentiseringsomgåingsproblem som muliggjør ekstern kjøring av kode. Trusselaktøren forsøkte å skjule sporene deres ved å slette gjenstander og tukle med tilgangslogger, men forsøket deres mislyktes, noe som førte til oppdagelsen av flere nettskall og bakdører.

En av disse oppdagelsene inkluderer en JSP-fil hentet fra en ekstern server, som bakdør "tomcat-websocket.jar"-filen ved å bruke en relatert JAR-fil kalt "tomcat-ant.jar." Den trojaniserte versjonen av tomcat-websocket.jar inkluderer tre nye Java-klasser (A, B og C), med A.class som enda et nettskall som er i stand til å utføre Base64-kodede og AES-krypterte kommandoer.