中國伏特颱風APT瞄準美國實體

被稱為“Volt Typhoon”（也稱為“Bronze Silhouette”）的中國民族國家演員最近被發現自 2020 年中期以來一直在積極進行網絡間諜活動。該組織被網絡安全公司 CrowdStrike 識別為 Vanguard Panda，他們展示了複雜的間諜技術來維持對其目標組織的長期訪問。

根據 CrowdStrike 的調查結果，Volt Typhoon 一直使用 ManageEngine Self-service Plus 漏洞作為其初始入口點，然後使用自定義 Web shell 來確保持久訪問。他們還採用了離地生活技術，在受感染的網絡內進行橫向移動。

伏特颱風襲擊美國組織

Volt Typhoon 網絡入侵行動的主要目標是美國政府、國防實體和關鍵基礎設施組織。他們的策略優先考慮操作安全，依靠全面的開源工具對有限數量的受害者進行長期惡意活動。

該組織已表現出偏愛使用 Web shell 來實現持久性，並依靠在短時間內爆發活動的非陸地二進製文件來實現其目標。在針對未公開客戶的特定事件中，Vanguard Panda 利用 Apache Tomcat 服務器上運行的 Zoho ManageEngine ADSelfService Plus 服務執行與進程枚舉和網絡連接相關的可疑命令。

CrowdStrike 對 Tomcat 訪問日誌的分析揭示了對 /html/promotion/selfsdp.jspx 的 HTTP POST 請求，這是一個偽裝成合法身份安全解決方案以逃避檢測的 Web shell。該 Web shell 很可能在實際攻擊發生前幾個月就已部署，這表明對目標網絡進行了廣泛的偵察。

中國 APT 的可能攻擊媒介漏洞

雖然 Vanguard Panda 破壞 ManageEngine 環境的確切方法尚不清楚，但有證據表明利用了 CVE-2021-40539，這是一個允許遠程執行代碼的關鍵身份驗證繞過漏洞。威脅行為者試圖通過刪除工件和篡改訪問日誌來隱藏他們的踪跡，但他們的嘗試失敗了，導致發現了更多的網絡外殼和後門。

其中一項發現包括從外部服務器獲取的 JSP 文件，該文件通過利用名為“tomcat-ant.jar”的相關 JAR 文件為“tomcat-websocket.jar”文件添加後門。 tomcat-websocket.jar 的木馬版本包含三個新的 Java 類（A、B 和 C），其中 A.class 充當另一個能夠執行 Base64 編碼和 AES 加密命令的 Web shell。