Китайский вольт-тайфун APT нацелен на американские предприятия

Недавно было обнаружено, что китайский государственный деятель, известный как Volt Typhoon, также известный как Bronze Silhouette, активно проводит операции кибершпионажа с середины 2020 года. Группа, которую компания по кибербезопасности CrowdStrike идентифицировала как Vanguard Panda, продемонстрировала изощренное мастерство, чтобы поддерживать длительный доступ к своим целевым организациям.

Согласно выводам CrowdStrike, Volt Typhoon постоянно использует эксплойты ManageEngine Self-service Plus в качестве начальной точки входа, за которыми следуют настраиваемые веб-оболочки для обеспечения постоянного доступа. Они также использовали методы жизни за пределами земли для бокового перемещения в скомпрометированных сетях.

Volt Typhoon нацелен на организации в США

Основными целями операций по кибервторжению Volt Typhoon были правительство США, оборонные предприятия и организации критической инфраструктуры. Их тактика отдает приоритет операционной безопасности, полагаясь на широкий спектр инструментов с открытым исходным кодом для выполнения долгосрочных вредоносных действий против ограниченного числа жертв.

Группа продемонстрировала предпочтение использования веб-оболочек для настойчивости и полагается на живущие за пределами земли двоичные файлы в коротких всплесках активности для достижения своих целей. В конкретном инциденте, нацеленном на неизвестного клиента, Vanguard Panda использовала службу Zoho ManageEngine ADSelfService Plus, работающую на сервере Apache Tomcat, для выполнения подозрительных команд, связанных с перечислением процессов и сетевым подключением.

Анализ журналов доступа Tomcat, проведенный CrowdStrike, выявил HTTP-запросы POST к /html/promotion/selfsdp.jspx, веб-оболочке, замаскированной под законное решение для защиты личных данных, чтобы избежать обнаружения. Эта веб-оболочка, вероятно, была развернута за несколько месяцев до фактической атаки, что указывает на обширную разведку целевой сети.

Уязвимость Вероятный вектор атаки для китайской APT

Хотя точный метод, используемый Vanguard Panda для взлома среды ManageEngine, остается неясным, доказательства указывают на использование CVE-2021-40539, критической уязвимости обхода аутентификации, позволяющей удаленно выполнять код. Злоумышленник попытался скрыть свои следы, удалив артефакты и подделав журналы доступа, но их попытка не увенчалась успехом, что привело к обнаружению дополнительных веб-оболочек и бэкдоров.

Одно из таких открытий включает в себя файл JSP, полученный с внешнего сервера, который закрывает файл «tomcat-websocket.jar», используя связанный файл JAR с именем «tomcat-ant.jar». Троянская версия tomcat-websocket.jar включает в себя три новых класса Java (A, B и C), причем A.class служит еще одной веб-оболочкой, способной выполнять команды, закодированные с помощью Base64 и AES.