Злоумышленники воспользовались скомпрометированной библиотекой Apache Tomcat и выждали около полугода перед тем, как нанести основательный удар по своей жертве.
Активность китайской киберпреступной группировки под названием «Volt Typhoon» впервые была зафиксирована ещё в середине 2020 года. Однако в последнем отчёте CrowdStrike исследователям удалось связать её с неизвестными ранее методами взлома целевой организации, позволяющими на протяжении долгого времени сохранять удалённый доступ к интересующим хакеров объектам. Специалисты отслеживают злоумышленников под кодовым названием «Vanguard Panda».
«Эти преступники использовали уязвимости в ManageEngine Self-service Plus для получения первоначального доступа, а затем — собственные веб-оболочки для постоянного доступа и применения LotL-атак для перемещения по сети», — сообщили в CrowdStrike.
Vanguard Panda, также известная как Bronze Silhouette, — это группа кибершпионажа из Китая, которая связана с операциями по вторжению в сеть против правительства и обороны США, а также ряда других критически важных американских организаций.
Анализ методов работы группы показал, что она уделяет особое внимание операционной безопасности, используя обширный набор инструментов с открытым исходным кодом против ограниченного числа жертв для совершения долгосрочных вредоносных действий.
Она также была описана как группа угроз, которая «предпочитает веб-оболочки для установления постоянства» и «полагается на короткие периоды активности, в основном включающие исполняемые LotL-файлы, чтобы достичь своих целей».
В одном из неудачных инцидентов, связанном с нераскрытым клиентом CrowdStrike, злоумышленники нацелились на сервис Zoho ManageEngine ADSelfService Plus, работающий на сервере Apache Tomcat, чтобы запустить вредоносные команды, связанные, среди прочего, с перечислением процессов и сетевым подключением.
«Действия Vanguard Panda свидетельствовали о хорошем знакомстве с целевой средой из-за быстрой последовательности их команд, а также наличия конкретных внутренних имён хостов и IP-адресов для пинга, удалённых общих ресурсов для монтирования и открытых учётных данных для использования с WMI», — сообщили исследователи.
Более тщательный анализ логов доступа Tomcat выявил несколько HTTP POST-запросов к «/html/promotion/selfsdp.jspx» — веб-оболочке, которая маскируется под законное решение по безопасности идентификации, чтобы избежать обнаружения.
Считается, что веб-оболочка была развернута за полгода до вышеупомянутой операции, что свидетельствует о тщательной предварительной разведке киберпреступниками целевой сети.
Пока неясно, как Vanguard Panda удалось проникнуть в среду ManageEngine, но все признаки указывают на эксплуатацию CVE-2021-40539 — критической уязвимости, обходящей аутентификацию с последующим удалённым выполнением кода.
Предполагается, что злоумышленники сбросили вредонос в целевую систему и подделали логи доступа, чтобы скрыть свои следы. Однако Java-файлы исходного кода и скомпилированных классов, которые были сгенерированы в ходе атаки, хакеры, видимо, не учли, что и привело к обнаружению специалистами безопасности большего количества веб-шеллов и бэкдоров.
Троянская версия «tomcat-websocket.jar», обнаруженная исследователями, оснащена тремя классами Java с именами A, B и C, функционирующими как веб-оболочки, способные принимать и выполнять команды в кодировке Base64 с AES-шифрованием.
«Использование вредоносной библиотеки Apache Tomcat — это ранее не используемая техника установления постоянства в руках хакеров Vanguard Panda», — сообщила CrowdStrike. Исследователи отдельно отметили, что киберпреступники используют зловредный имплантат для «обеспечения постоянного доступа к целям высокой ценности, отобранным после фазы первоначального доступа с использованием тогдашних уязвимостей нулевого дня».
Гравитация научных фактов сильнее, чем вы думаете