Chinese Volt Typhoon APT richt zich op Amerikaanse entiteiten
Onlangs is ontdekt dat de Chinese natiestaatacteur Volt Typhoon, ook wel Bronze Silhouette genoemd, actief cyberspionageoperaties uitvoert sinds medio 2020. De groep, door cyberbeveiligingsbedrijf CrowdStrike geïdentificeerd als Vanguard Panda, heeft geavanceerd vakmanschap getoond om langdurige toegang tot hun gerichte organisaties te behouden.
Volgens de bevindingen van CrowdStrike heeft Volt Typhoon consequent ManageEngine Self-service Plus-exploits gebruikt als hun eerste toegangspunt, gevolgd door aangepaste webshells om blijvende toegang te garanderen. Ze hebben ook technieken gebruikt om buiten het land te leven voor zijwaartse beweging binnen de gecompromitteerde netwerken.
Volt Typhoon richt zich op organisaties in de VS
De primaire doelen van de cyberinbraakoperaties van Volt Typhoon waren de Amerikaanse regering, defensie-entiteiten en kritieke infrastructuurorganisaties. Hun tactiek geeft prioriteit aan operationele veiligheid en vertrouwt op een uitgebreide reeks open-sourcetools om kwaadaardige activiteiten op lange termijn uit te voeren tegen een beperkt aantal slachtoffers.
De groep heeft een voorkeur getoond voor het gebruik van webshells voor doorzettingsvermogen en vertrouwt op binaries die buiten het land leven in korte uitbarstingen van activiteit om hun doelstellingen te bereiken. Bij een specifiek incident met een niet nader genoemde klant maakte Vanguard Panda gebruik van de Zoho ManageEngine ADSelfService Plus-service die draait op een Apache Tomcat-server om verdachte opdrachten uit te voeren met betrekking tot procesopsomming en netwerkconnectiviteit.
CrowdStrike's analyse van Tomcat-toegangslogboeken onthulde HTTP POST-verzoeken aan /html/promotion/selfsdp.jspx, een webshell vermomd als een legitieme identiteitsbeveiligingsoplossing om detectie te omzeilen. Deze webshell was waarschijnlijk al maanden voor de daadwerkelijke aanval ingezet, wat wijst op uitgebreide verkenning van het doelnetwerk.
Kwetsbaarheid waarschijnlijke aanvalsvector voor de Chinese APT
Hoewel de exacte methode die Vanguard Panda gebruikt om de ManageEngine-omgeving te doorbreken onduidelijk blijft, wijzen er aanwijzingen op misbruik van CVE-2021-40539, een kritieke authenticatie-bypass-kwetsbaarheid die het mogelijk maakt om op afstand code uit te voeren. De bedreigingsactor probeerde hun sporen te verbergen door artefacten te verwijderen en te knoeien met toegangslogboeken, maar hun poging mislukte, wat leidde tot de ontdekking van extra webshells en achterdeurtjes.
Een van deze ontdekkingen omvat een JSP-bestand dat is verkregen van een externe server, dat het "tomcat-websocket.jar"-bestand achterdeurt door een gerelateerd JAR-bestand met de naam "tomcat-ant.jar" te gebruiken. De getrojaniseerde versie van tomcat-websocket.jar bevat drie nieuwe Java-klassen (A, B en C), waarbij A.class dienst doet als weer een andere webshell die in staat is om Base64-gecodeerde en AES-gecodeerde opdrachten uit te voeren.