Chiński Volt Typhoon APT bierze na cel amerykańskie podmioty

Niedawno odkryto, że chiński aktor będący państwem narodowym, znany jako Volt Typhoon, nazywany również brązową sylwetką, od połowy 2020 r. aktywnie prowadzi operacje cyberszpiegowskie. Grupa, zidentyfikowana przez firmę zajmującą się cyberbezpieczeństwem, CrowdStrike, jako Vanguard Panda, wykazała się wyrafinowanym rzemiosłem, aby utrzymać przedłużony dostęp do atakowanych organizacji.

Zgodnie z ustaleniami CrowdStrike, Volt Typhoon konsekwentnie wykorzystywał exploity ManageEngine Self-service Plus jako początkowy punkt wejścia, a następnie niestandardowe powłoki sieciowe, aby zapewnić stały dostęp. Zastosowali również techniki życia poza ziemią do przemieszczania się poprzecznego w skompromitowanych sieciach.

Volt Typhoon atakuje organizacje w USA

Głównymi celami operacji cybernetycznych Volt Typhoon były rząd Stanów Zjednoczonych, jednostki obronne i organizacje zajmujące się infrastrukturą krytyczną. Ich taktyka stawia na pierwszym miejscu bezpieczeństwo operacyjne, opierając się na szerokiej gamie narzędzi typu open source do przeprowadzania długoterminowych złośliwych działań przeciwko ograniczonej liczbie ofiar.

Grupa wykazała preferencje do używania powłok sieciowych do wytrwałości i polega na żywych plikach binarnych w krótkich okresach aktywności, aby osiągnąć swoje cele. W konkretnym incydencie wymierzonym w nieujawnionego klienta firma Vanguard Panda wykorzystała usługę Zoho ManageEngine ADSelfService Plus działającą na serwerze Apache Tomcat do wykonania podejrzanych poleceń związanych z wyliczaniem procesów i łącznością sieciową.

Przeprowadzona przez CrowdStrike analiza dzienników dostępu Tomcat ujawniła żądania HTTP POST kierowane do /html/promotion/selfsdp.jspx, powłoki internetowej udającej legalne rozwiązanie do zabezpieczania tożsamości w celu uniknięcia wykrycia. Ta powłoka sieciowa została prawdopodobnie wdrożona na kilka miesięcy przed faktycznym atakiem, co wskazuje na rozległy rekonesans docelowej sieci.

Prawdopodobny wektor ataku luki w zabezpieczeniach dla chińskiego APT

Chociaż dokładna metoda zastosowana przez Vanguard Panda do włamania się do środowiska ManageEngine pozostaje niejasna, dowody wskazują na wykorzystanie CVE-2021-40539, krytycznej luki w zabezpieczeniach umożliwiającej obejście uwierzytelniania, która umożliwia zdalne wykonanie kodu. Aktor próbował ukryć swoje ślady, usuwając artefakty i manipulując dziennikami dostępu, ale ich próba się nie powiodła, co doprowadziło do wykrycia dodatkowych powłok sieciowych i tylnych drzwi.

Jedno z tych odkryć obejmuje plik JSP uzyskany z zewnętrznego serwera, który dokonuje backdoora pliku „tomcat-websocket.jar”, wykorzystując powiązany plik JAR o nazwie „tomcat-ant.jar”. Trojanizowana wersja tomcat-websocket.jar zawiera trzy nowe klasy Java (A, B i C), przy czym A.class służy jako kolejna powłoka internetowa zdolna do wykonywania poleceń zakodowanych w algorytmie Base64 i AES.