On a observé que l’acteur d’État-nation chinois récemment découvert connu sous le nom de Volt Typhoon était actif dans la nature depuis au moins la mi-2020, avec l’équipe de piratage liée à des engins commerciaux inédits pour conserver un accès à distance aux cibles d’intérêt.
Les résultats proviennent de CrowdStrike, qui suit l’adversaire sous le nom Panda de l’avant-garde.
“L’adversaire a systématiquement utilisé les exploits de ManageEngine Self-service Plus pour obtenir un accès initial, suivis de shells Web personnalisés pour un accès persistant, et de techniques de vie hors de la terre (LotL) pour les mouvements latéraux”, a déclaré la société de cybersécurité. a dit.
Volt Typhoon, connu sous le nom de Bronze Silhouette, est un groupe de cyberespionnage chinois qui a été lié à des opérations d’intrusion de réseau contre le gouvernement américain, la défense et d’autres organisations d’infrastructures critiques.
Une analyse du modus operandi du groupe a révélé l’importance qu’il accorde à la sécurité opérationnelle, utilisant avec précaution un ensemble complet d’outils open source contre un nombre limité de victimes pour mener des actes malveillants à long terme.
Il a en outre été décrit comme un groupe de menaces qui “favorise les shells Web pour la persistance et s’appuie sur de courtes périodes d’activité impliquant principalement des binaires vivant hors de la terre pour atteindre ses objectifs”.
Lors d’un incident infructueux ciblant un client non spécifié, l’acteur a ciblé le service Zoho ManageEngine ADSelfService Plus exécuté sur un serveur Apache Tomcat pour déclencher l’exécution de commandes suspectes concernant l’énumération des processus et la connectivité réseau, entre autres.
“Les actions de Vanguard Panda ont indiqué une familiarité avec l’environnement cible, en raison de la succession rapide de leurs commandes, ainsi que des noms d’hôte et des adresses IP internes spécifiques à ping, des partages distants à monter et des informations d’identification en clair à utiliser pour WMI“, a déclaré CrowdStrike.
Un examen plus approfondi des journaux d’accès Tomcat a mis au jour plusieurs requêtes HTTP POST adressées à /html/promotion/selfsdp.jspx, un shell Web camouflé en tant que solution de sécurité d’identité légitime pour contourner la détection.
On pense que le shell Web a été déployé près de six mois avant l’activité pratique sur le clavier susmentionnée, ce qui indique une reconnaissance préalable approfondie du réseau cible.
Bien qu’il ne soit pas immédiatement clair comment Vanguard Panda a réussi à violer l’environnement ManageEngine, tous les signes indiquent l’exploitation de CVE-2021-40539, une faille critique de contournement d’authentification avec l’exécution de code à distance qui en résulte.
On soupçonne que l’auteur de la menace a supprimé des artefacts et falsifié les journaux d’accès à obscurcir la piste médico-légale. Cependant, dans un faux pas flagrant, le processus n’a pas pris en compte la source Java et fichiers de classe compilés qui ont été générés au cours de l’attaque, conduisant à la découverte de plus de shells Web et de portes dérobées.
Cela inclut un fichier JSP qui est probablement récupéré à partir d’un serveur externe et qui est conçu pour déjouer “tomcat-websocket.jar” en utilisant un fichier JAR auxiliaire appelé “tomcat-ant.jar” qui est également récupéré à distance au moyen d’un site Web shell, après quoi des actions de nettoyage sont effectuées pour couvrir les pistes.
La version trojanisée de tomcat-websocket.jar est équipée de trois nouvelles classes Java – nommées A, B et C – avec A.class fonctionnant comme un autre shell Web capable de recevoir et d’exécuter des commandes codées en Base64 et cryptées en AES.
“L’utilisation d’une bibliothèque Apache Tomcat avec porte dérobée est un TTP de persistance non divulgué précédemment utilisé par Vanguard Panda”, a déclaré CrowdStrike, notant avec une confiance modérée que l’implant est utilisé pour “permettre un accès persistant à des cibles de grande valeur sélectionnées après la phase d’accès initiale d’opérations utilisant alors les vulnérabilités zero-day.”