Tufão volt chinês APT atinge entidades dos EUA

Descobriu-se recentemente que o ator do estado-nação chinês conhecido como Volt Typhoon, também conhecido como Silhueta de Bronze, conduz ativamente operações de espionagem cibernética desde meados de 2020. O grupo, identificado pela empresa de segurança cibernética CrowdStrike como Vanguard Panda, exibiu técnicas sofisticadas para manter acesso prolongado às organizações-alvo.

De acordo com as descobertas da CrowdStrike, o Volt Typhoon tem consistentemente utilizado exploits ManageEngine Self-service Plus como seu ponto de entrada inicial, seguido por web shells personalizados para garantir o acesso persistente. Eles também empregaram técnicas de vida fora da terra para movimento lateral dentro das redes comprometidas.

Volt Typhoon atinge organizações nos EUA

Os alvos principais das operações de invasão cibernética do Volt Typhoon têm sido o governo dos EUA, entidades de defesa e organizações de infraestrutura crítica. Suas táticas priorizam a segurança operacional, contando com uma gama abrangente de ferramentas de código aberto para realizar atividades maliciosas de longo prazo contra um número limitado de vítimas.

O grupo demonstrou preferência pelo uso de shells da web para persistência e depende de binários que vivem fora da terra em curtos períodos de atividade para atingir seus objetivos. Em um incidente específico direcionado a um cliente não divulgado, o Vanguard Panda aproveitou o serviço Zoho ManageEngine ADSelfService Plus em execução em um servidor Apache Tomcat para executar comandos suspeitos relacionados à enumeração de processos e conectividade de rede.

A análise da CrowdStrike dos logs de acesso do Tomcat revelou solicitações HTTP POST para /html/promotion/selfsdp.jspx, um shell da web disfarçado como uma solução legítima de segurança de identidade para evitar a detecção. Esse shell da web provavelmente foi implantado meses antes do ataque real, indicando amplo reconhecimento da rede de destino.

Vulnerabilidade provável vetor de ataque para o APT chinês

Embora o método exato usado pelo Vanguard Panda para violar o ambiente ManageEngine permaneça incerto, as evidências apontam para a exploração de CVE-2021-40539, uma vulnerabilidade crítica de desvio de autenticação que permite a execução remota de código. O agente da ameaça tentou ocultar seus rastros excluindo artefatos e adulterando os logs de acesso, mas sua tentativa falhou, levando à descoberta de shells e backdoors adicionais.

Uma dessas descobertas inclui um arquivo JSP obtido de um servidor externo, que faz backdoor do arquivo "tomcat-websocket.jar" utilizando um arquivo JAR relacionado chamado "tomcat-ant.jar". A versão trojanizada do tomcat-websocket.jar inclui três novas classes Java (A, B e C), com A.class servindo como outro shell da web capaz de executar comandos codificados em Base64 e criptografados em AES.