Se ha observado que el actor del estado-nación chino recién descubierto conocido como Volt Typhoon está activo en la naturaleza desde al menos mediados de 2020, con el equipo de piratería vinculado a un comercio nunca antes visto para retener el acceso remoto a los objetivos de interés.
Los hallazgos provienen de CrowdStrike, que está rastreando al adversario bajo el nombre Panda de vanguardia.
«El adversario empleó constantemente los exploits ManageEngine Self-service Plus para obtener el acceso inicial, seguido de shells web personalizados para el acceso persistente y técnicas de living-off-the-land (LotL) para el movimiento lateral», dijo la empresa de ciberseguridad. dicho.
Volt Typhoon, conocido como Bronze Silhouette, es un grupo de espionaje cibernético de China que se ha relacionado con operaciones de intrusión en la red contra el gobierno de EE. UU., la defensa y otras organizaciones de infraestructura crítica.
Un análisis del modus operandi del grupo ha revelado su énfasis en la seguridad operativa, utilizando cuidadosamente un amplio conjunto de herramientas de código abierto contra un número limitado de víctimas para llevar a cabo actos maliciosos a largo plazo.
Se ha descrito además como un grupo de amenazas que «favorece los shells web para la persistencia y se basa en breves ráfagas de actividad que involucran principalmente binarios que viven de la tierra para lograr sus objetivos».
En un incidente fallido dirigido a un cliente no especificado, el actor apuntó al servicio Zoho ManageEngine ADSelfService Plus que se ejecuta en un servidor Apache Tomcat para desencadenar la ejecución de comandos sospechosos relacionados con la enumeración de procesos y la conectividad de red, entre otros.
«Las acciones de Vanguard Panda indicaron una familiaridad con el entorno de destino, debido a la rápida sucesión de sus comandos, además de tener nombres de host e IP internos específicos para hacer ping, recursos compartidos remotos para montar y credenciales de texto sin formato para usar para WMI”, dijo CrowdStrike.
Un examen más detallado de los registros de acceso de Tomcat descubrió varias solicitudes HTTP POST a /html/promotion/selfsdp.jspx, un shell web camuflado como la solución de seguridad de identidad legítima para eludir la detección.
Se cree que el shell web se implementó casi seis meses antes de la actividad práctica del teclado antes mencionada, lo que indica un amplio reconocimiento previo de la red de destino.
Si bien no está claro de inmediato cómo Vanguard Panda logró violar el entorno de ManageEngine, todas las señales apuntan a la explotación de CVE-2021-40539, una falla crítica de omisión de autenticación con la ejecución remota de código resultante.
Se sospecha que el actor de amenazas eliminó artefactos y manipuló los registros de acceso a oscurecer el rastro forense. Sin embargo, en un paso en falso evidente, el proceso no tuvo en cuenta la fuente de Java y archivos de clase compilados que se generaron durante el curso del ataque, lo que llevó al descubrimiento de más shells web y puertas traseras.
Esto incluye un archivo JSP que probablemente se recupera de un servidor externo y que está diseñado para «tomcat-websocket.jar» de puerta trasera mediante el uso de un archivo JAR auxiliar llamado «tomcat-ant.jar» que también se obtiene de forma remota a través de una web. shell, después de lo cual se realizan acciones de limpieza para cubrir las pistas.
La versión troyanizada de tomcat-websocket.jar está equipada con tres nuevas clases de Java, denominadas A, B y C, y A.class funciona como otro shell web capaz de recibir y ejecutar comandos codificados en Base64 y AES.
«El uso de una biblioteca Apache Tomcat con puerta trasera es un TTP de persistencia no revelado anteriormente que usa Vanguard Panda», dijo CrowdStrike, y señaló con confianza moderada que el implante se usa para «permitir el acceso persistente a objetivos de alto valor seleccionados después de la fase de acceso inicial de operaciones utilizando entonces vulnerabilidades de día cero».