Primijećeno je da je novootkriveni kineski haker poznat kao Volt Typhoon aktivan najmanje od sredine 2020. godine, a hakerska ekipa povezana je s nikad prije viđenim trgovačkim brodovima kako bi zadržala daljinski pristup ciljevima od interesa.
Nalazi dolaze iz CrowdStrike-a, koji prati protivnika pod imenom Vanguard Panda.
“Haker je dosljedno koristio ManageEngine Self-service Plus eksploatacije kako bi dobio početni pristup, praćen prilagođenim web sheel-om za uporan pristup i tehnikama života izvan zemlje (LotL) za lateralno kretanje” rekla je kompanija za kibernetičku bezbjednost.
Volt Typhoon, poznat kao Bronze Silhouette, je kibernetička špijunažna grupa iz Kine koja je povezana s operacijama upada u mrežu protiv američke vlade, odbrane i drugih kritičnih infrastrukturnih organizacija.
Analiza načina rada grupe otkrila je njen naglasak na operativnoj sigurnosti, pažljivo korištenjem opsežnog skupa alata otvorenog koda protiv ograničenog broja žrtava za izvršenje dugoročnih malicioznih radnji.
Nadalje je opisana kao grupa hakera koja “favorizuje web shell za postojanost i oslanja se na kratke navale aktivnosti koje prvenstveno uključuju binarne datoteke koje žive izvan zemlje da bi postigle svoje ciljeve.”
U jednom neuspješnom incidentu usmjerenom na neodređenog klijenta, haker je ciljao Zoho ManageEngine ADSelfService Plus uslugu koja radi na Apache Tomcat serveru kako bi pokrenula izvršavanje sumnjivih naredbi koje se odnose na nabrajanje procesa i mrežno povezivanje, između ostalog.
„Postupci Vanguard Pande ukazivali su na poznavanje ciljnog okruženja, zbog brzog slijeda njihovih naredbi, kao i zbog specifičnih internih imena hostova i IP-ova za ping, udaljenih dijeljenja za montiranje i kredencijala otvorenog teksta za korištenje za WMI“ rekao je CrowdStrike.
Detaljnije ispitivanje pristupnih dnevnika Tomcat-a otkrilo je nekoliko HTTP POST zahtjeva za /html/promotion/selfsdp.jspx, web shell koja je kamuflirana kao legitimno sigurnosno rešenje identiteta za izbjegavanje otkrivanja.
Vjeruje se da je web shell postavljena skoro šest mjeseci prije gore pomenute praktične aktivnosti na tastaturi, što ukazuje na opsežno prethodno izviđanje ciljne mreže.
Iako nije odmah jasno kako je Vanguard Panda uspjela probiti okruženje ManageEngine, svi znakovi upućuju na eksploataciju CVE-2021-40539, kritičnu grešku zaobilaženja autentifikacije koja rezultuje daljinskim izvršavanjem koda.
Sumnja se da je haker izbrisao artefakte i mijenjao pristupne zapise kako bi zamutio forenzički trag. Međutim, u očiglednom pogrešnom koraku, proces nije uspeo da uzme u obzir Java izvor i kompajlirane datoteke klasa koje su generisane tokom napada, što je dovelo do otkrića više web shell-ova i backdoor-ova.
Ovo uključuje JSP datoteku koja se vjerovatno preuzima sa eksternog servera i koja je dizajnirana za backdoor “tomcat-websocket.jar” korištenjem pomoćne JAR datoteke pod nazivom “tomcat-ant.jar” koja se takođe preuzima daljinski putem web shell-a, nakon čega se izvode akcije čišćenja kako bi se prikrili tragovi.
Trojanizovana verzija tomcat-websocket.jar opremljena je sa tri nove Java klase nazvane A, B i C. sa A.class koji funkcioniše kao još jedan web shell sposoban da prima i izvršava Base64 kodirane i AES šifrovane komande.
“Upotreba backdoor-ed biblioteke Apache Tomcat je prethodno neotkriven TTP postojanosti koji koristi Vanguard Panda” rekao je CrowdStrike, ističući s umjerenim povjerenjem da se implant koristi za “omogućavanje trajnog pristupa visokovrijednim ciljevima koji su niže odabrani nakon početne faze pristupa operacija koje koriste tada Zero Day ranjivosti.”
Izvor: The Hacker News