Активность китайской киберпреступной группировки под названием “Volt Typhoon” впервые была зафиксирована ещё в середине 2020 года. Однако в последнем отчёте CrowdStrike исследователям удалось связать её с неизвестными ранее методами взлома целевой организации, позволяющими на протяжении долгого времени сохранять удалённый доступ к интересующим хакеров объектам. Специалисты отслеживают злоумышленников под кодовым названием “Vanguard Panda”.
“Эти преступники использовали уязвимости в ManageEngine Self-service Plus для получения первоначального доступа, а затем – собственные веб-оболочки для постоянного доступа и применения LotL-атак для перемещения по сети”, – сообщили в CrowdStrike.
Vanguard Panda, также известная как Bronze Silhouette, – это группа кибершпионажа из Китая, которая связана с операциями по вторжению в сеть против правительства и обороны США, а также ряда других критически важных американских организаций.
Анализ методов работы группы показал, что она уделяет особое внимание операционной безопасности, используя обширный набор инструментов с открытым исходным кодом против ограниченного числа жертв для совершения долгосрочных вредоносных действий.
Она также была описана как группа угроз, которая “предпочитает веб-оболочки для установления постоянства” и “полагается на короткие периоды активности, в основном включающие исполняемые LotL-файлы, чтобы достичь своих целей”.
В одном из неудачных инцидентов, связанном с нераскрытым клиентом CrowdStrike, злоумышленники нацелились на сервис Zoho ManageEngine ADSelfService Plus, работающий на сервере Apache Tomcat, чтобы запустить вредоносные команды, связанные, среди прочего, с перечислением процессов и сетевым подключением.
“Действия Vanguard Panda свидетельствовали о хорошем знакомстве с целевой средой из-за быстрой последовательности их команд, а также наличия конкретных внутренних имён хостов и IP-адресов для пинга, удалённых общих ресурсов для монтирования и открытых учётных данных для использования с WMI”, – сообщили исследователи.
Более тщательный анализ логов доступа Tomcat выявил несколько HTTP POST-запросов к “/html/promotion/selfsdp.jspx” – веб-оболочке, которая маскируется под законное решение по безопасности идентификации, чтобы избежать обнаружения.
Считается, что веб-оболочка была развернута за полгода до вышеупомянутой операции, что свидетельствует о тщательной предварительной разведке киберпреступниками целевой сети.
Пока неясно, как Vanguard Panda удалось проникнуть в среду ManageEngine, но все признаки указывают на эксплуатацию CVE-2021-40539 – критической уязвимости, обходящей аутентификацию с последующим удалённым выполнением кода.
Предполагается, что злоумышленники сбросили вредонос в целевую систему и подделали логи доступа, чтобы скрыть свои следы. Однако Java-файлы исходного кода и скомпилированных классов, которые были сгенерированы в ходе атаки, хакеры, видимо, не учли, что и привело к обнаружению специалистами безопасности большего количества веб-шеллов и бэкдоров.
Троянская версия “tomcat-websocket.jar”, обнаруженная исследователями, оснащена тремя классами Java с именами A, B и C, функционирующими как веб-оболочки, способные принимать и выполнять команды в кодировке Base64 с AES-шифрованием.
“Использование вредоносной библиотеки Apache Tomcat – это ранее не используемая техника установления постоянства в руках хакеров Vanguard Panda”, – сообщила CrowdStrike. Исследователи отдельно отметили, что киберпреступники используют зловредный имплантат для “обеспечения постоянного доступа к целям высокой ценности, отобранным после фазы первоначального доступа с использованием тогдашних уязвимостей нулевого дня”.