Se ha observado que el actor del estado-naci\u00f3n chino reci\u00e9n descubierto conocido como Volt Typhoon est\u00e1 activo en la naturaleza desde al menos mediados de 2020, con el equipo de pirater\u00eda vinculado a un comercio nunca antes visto para retener el acceso remoto a los objetivos de inter\u00e9s.<\/p>\n
Los hallazgos provienen de CrowdStrike, que est\u00e1 rastreando al adversario bajo el nombre Panda de vanguardia<\/strong>.<\/p>\n “El adversario emple\u00f3 constantemente los exploits ManageEngine Self-service Plus para obtener el acceso inicial, seguido de shells web personalizados para el acceso persistente y t\u00e9cnicas de living-off-the-land (LotL) para el movimiento lateral”, dijo la empresa de ciberseguridad. dicho<\/a>.<\/p>\n Volt Typhoon, conocido como Bronze Silhouette, es un grupo de espionaje cibern\u00e9tico de China que se ha relacionado con operaciones de intrusi\u00f3n en la red contra el gobierno de EE. UU., la defensa y otras organizaciones de infraestructura cr\u00edtica.<\/p>\n Un an\u00e1lisis del modus operandi del grupo ha revelado su \u00e9nfasis en la seguridad operativa, utilizando cuidadosamente un amplio conjunto de herramientas de c\u00f3digo abierto contra un n\u00famero limitado de v\u00edctimas para llevar a cabo actos maliciosos a largo plazo.<\/p>\n Se ha descrito adem\u00e1s como un grupo de amenazas que “favorece los shells web para la persistencia y se basa en breves r\u00e1fagas de actividad que involucran principalmente binarios que viven de la tierra para lograr sus objetivos”.<\/p>\n En un incidente fallido dirigido a un cliente no especificado, el actor apunt\u00f3 al servicio Zoho ManageEngine ADSelfService Plus que se ejecuta en un servidor Apache Tomcat para desencadenar la ejecuci\u00f3n de comandos sospechosos relacionados con la enumeraci\u00f3n de procesos y la conectividad de red, entre otros. <\/p>\n “Las acciones de Vanguard Panda indicaron una familiaridad con el entorno de destino, debido a la r\u00e1pida sucesi\u00f3n de sus comandos, adem\u00e1s de tener nombres de host e IP internos espec\u00edficos para hacer ping, recursos compartidos remotos para montar y credenciales de texto sin formato para usar para WMI<\/a>\u201d, dijo CrowdStrike.<\/p>\n Un examen m\u00e1s detallado de los registros de acceso de Tomcat descubri\u00f3 varias solicitudes HTTP POST a \/html\/promotion\/selfsdp.jspx, un shell web camuflado como la soluci\u00f3n de seguridad de identidad leg\u00edtima para eludir la detecci\u00f3n.<\/p>\n Se cree que el shell web se implement\u00f3 casi seis meses antes de la actividad pr\u00e1ctica del teclado antes mencionada, lo que indica un amplio reconocimiento previo de la red de destino.<\/p>\n Si bien no est\u00e1 claro de inmediato c\u00f3mo Vanguard Panda logr\u00f3 violar el entorno de ManageEngine, todas las se\u00f1ales apuntan a la explotaci\u00f3n de CVE-2021-40539, una falla cr\u00edtica de omisi\u00f3n de autenticaci\u00f3n con la ejecuci\u00f3n remota de c\u00f3digo resultante.<\/p>\n Se sospecha que el actor de amenazas elimin\u00f3 artefactos y manipul\u00f3 los registros de acceso a oscurecer el rastro forense<\/a>. Sin embargo, en un paso en falso evidente, el proceso no tuvo en cuenta la fuente de Java y archivos de clase compilados<\/a> que se generaron durante el curso del ataque, lo que llev\u00f3 al descubrimiento de m\u00e1s shells web y puertas traseras.<\/p>\n Esto incluye un archivo JSP que probablemente se recupera de un servidor externo y que est\u00e1 dise\u00f1ado para “tomcat-websocket.jar” de puerta trasera mediante el uso de un archivo JAR auxiliar llamado “tomcat-ant.jar” que tambi\u00e9n se obtiene de forma remota a trav\u00e9s de una web. shell, despu\u00e9s de lo cual se realizan acciones de limpieza para cubrir las pistas.<\/p>\n La versi\u00f3n troyanizada de tomcat-websocket.jar est\u00e1 equipada con tres nuevas clases de Java, denominadas A, B y C, y A.class funciona como otro shell web capaz de recibir y ejecutar comandos codificados en Base64 y AES.<\/p>\n “El uso de una biblioteca Apache Tomcat con puerta trasera es un TTP de persistencia no revelado anteriormente que usa Vanguard Panda”, dijo CrowdStrike, y se\u00f1al\u00f3 con confianza moderada que el implante se usa para “permitir el acceso persistente a objetivos de alto valor seleccionados despu\u00e9s de la fase de acceso inicial de operaciones utilizando entonces vulnerabilidades de d\u00eda cero”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Nueva-campana-de-malware-que-aprovecha-Satacom-Downloader-para-robar.png\")
<\/a><\/center><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Hackers-chinos-utilizan-tacticas-nunca-antes-vistas-para-ataques-a.png\")
<\/a><\/center><\/div>\n