中国伏特台风APT瞄准美国实体

被称为“Volt Typhoon”（也称为“Bronze Silhouette”）的中国民族国家演员最近被发现自 2020 年中期以来一直在积极进行网络间谍活动。该组织被网络安全公司 CrowdStrike 识别为 Vanguard Panda，他们展示了复杂的间谍技术来维持对其目标组织的长期访问。

根据 CrowdStrike 的调查结果，Volt Typhoon 一直使用 ManageEngine Self-service Plus 漏洞作为其初始入口点，然后使用自定义 Web shell 来确保持久访问。他们还采用了离地生活技术，在受感染的网络内进行横向移动。

伏特台风袭击美国组织

Volt Typhoon 网络入侵行动的主要目标是美国政府、国防实体和关键基础设施组织。他们的策略优先考虑操作安全，依靠全面的开源工具对有限数量的受害者进行长期恶意活动。

该组织已表现出偏爱使用 Web shell 来实现持久性，并依靠在短时间内爆发活动的非陆地二进制文件来实现其目标。在针对未公开客户的特定事件中，Vanguard Panda 利用 Apache Tomcat 服务器上运行的 Zoho ManageEngine ADSelfService Plus 服务执行与进程枚举和网络连接相关的可疑命令。

CrowdStrike 对 Tomcat 访问日志的分析揭示了对 /html/promotion/selfsdp.jspx 的 HTTP POST 请求，这是一个伪装成合法身份安全解决方案以逃避检测的 Web shell。该 Web shell 很可能在实际攻击发生前几个月就已部署，这表明对目标网络进行了广泛的侦察。

中国 APT 的可能攻击媒介漏洞

虽然 Vanguard Panda 破坏 ManageEngine 环境的确切方法尚不清楚，但有证据表明利用了 CVE-2021-40539，这是一个允许远程执行代码的关键身份验证绕过漏洞。威胁行为者试图通过删除工件和篡改访问日志来隐藏他们的踪迹，但他们的尝试失败了，导致发现了更多的网络外壳和后门。

其中一项发现包括从外部服务器获取的 JSP 文件，该文件通过利用名为“tomcat-ant.jar”的相关 JAR 文件为“tomcat-websocket.jar”文件添加后门。 tomcat-websocket.jar 的木马版本包含三个新的 Java 类（A、B 和 C），其中 A.class 充当另一个能够执行 Base64 编码和 AES 加密命令的 Web shell。