Ngày 26 tháng 6 năm 2023Ravie LakshmananGián điệp mạng / LotL
Tác nhân quốc gia Trung Quốc mới được phát hiện có tên là Volt Typhoon đã được quan sát thấy là hoạt động trong tự nhiên ít nhất là từ giữa năm 2020, với nhóm hack được liên kết với các thủ đoạn chưa từng thấy trước đây để giữ quyền truy cập từ xa vào các mục tiêu quan tâm.
Những phát hiện đến từ CrowdStrike, đang theo dõi kẻ thù dưới tên gấu trúc tiên phong.
Công ty an ninh mạng cho biết: “Kẻ thù đã liên tục sử dụng các khai thác ManageEngine Self-service Plus để có quyền truy cập ban đầu, tiếp theo là vỏ web tùy chỉnh để truy cập liên tục và các kỹ thuật sống ngoài đất liền (LotL) để di chuyển ngang”.
Volt Typhoon, còn được gọi là Hình bóng đồng, là một nhóm gián điệp mạng từ Trung Quốc có liên quan đến các hoạt động xâm nhập mạng chống lại chính phủ Hoa Kỳ, quốc phòng và các tổ chức cơ sở hạ tầng quan trọng khác.
Một phân tích về phương thức hoạt động của nhóm đã tiết lộ sự nhấn mạnh của nhóm vào bảo mật hoạt động, cẩn thận sử dụng một bộ công cụ nguồn mở mở rộng chống lại một số nạn nhân hạn chế để thực hiện các hành vi độc hại dài hạn.
Nó đã được mô tả thêm như một nhóm đe dọa “ủng hộ các lớp vỏ web để tồn tại lâu dài và dựa vào các đợt hoạt động ngắn chủ yếu liên quan đến các nhị phân sống ngoài đất liền để đạt được mục tiêu của nó.”
Trong một sự cố không thành công nhắm mục tiêu vào một khách hàng không xác định, kẻ gian đã nhắm mục tiêu dịch vụ Zoho ManageEngine ADSelfService Plus chạy trên máy chủ Apache Tomcat để kích hoạt việc thực thi các lệnh đáng ngờ liên quan đến liệt kê quy trình và kết nối mạng, cùng các lệnh khác.
“Hành động của Vanguard Panda cho thấy sự quen thuộc với môi trường mục tiêu, do sự liên tiếp nhanh chóng của các lệnh của chúng, cũng như có tên máy chủ và IP nội bộ cụ thể để ping, chia sẻ từ xa để gắn kết và thông tin xác thực văn bản gốc để sử dụng cho WMI,” CrowdStrike cho biết.
Kiểm tra kỹ hơn nhật ký truy cập Tomcat đã phát hiện ra một số yêu cầu HTTP POST tới /html/promotion/selfsdp.jspx, một trình bao web được ngụy trang dưới dạng giải pháp bảo mật danh tính hợp pháp để tránh bị phát hiện.
Web shell được cho là đã được triển khai gần sáu tháng trước khi diễn ra hoạt động thao tác trên bàn phím nói trên, cho thấy mạng mục tiêu đã được điều tra kỹ lưỡng trước đó.
Mặc dù không rõ ngay lập tức Vanguard Panda đã quản lý để vi phạm môi trường ManageEngine như thế nào, nhưng tất cả các dấu hiệu đều chỉ ra việc khai thác CVE-2021-40539, một lỗ hổng bỏ qua xác thực quan trọng dẫn đến thực thi mã từ xa.
Người ta nghi ngờ rằng tác nhân đe dọa đã xóa các tạo phẩm và can thiệp vào nhật ký truy cập để che khuất dấu vết pháp y. Tuy nhiên, trong một sai lầm rõ ràng, quá trình này đã không tính đến nguồn Java và các tệp lớp đã biên dịch được tạo ra trong quá trình tấn công, dẫn đến việc phát hiện ra nhiều web shell và cửa hậu hơn.
Điều này bao gồm tệp JSP có khả năng được truy xuất từ máy chủ bên ngoài và được thiết kế để mở cửa sau “tomcat-websocket.jar” bằng cách sử dụng tệp JAR phụ trợ có tên “tomcat-ant.jar” cũng được tải từ xa qua web shell, sau đó hành động dọn dẹp được thực hiện để che dấu vết.
Phiên bản trojan của tomcat-websocket.jar được trang bị ba lớp Java mới – có tên là A, B và C – với A.class hoạt động như một trình bao web khác có khả năng nhận và thực thi các lệnh được mã hóa Base64 và mã hóa AES.
“Việc sử dụng thư viện Apache Tomcat có cửa sau là một TTP lâu dài chưa được tiết lộ trước đây được sử dụng bởi Vanguard Panda,” CrowdStrike cho biết, lưu ý với sự tự tin vừa phải rằng bộ cấy được sử dụng để “cho phép truy cập liên tục vào các mục tiêu có giá trị cao được chọn sau giai đoạn truy cập ban đầu của các hoạt động sử dụng các lỗ hổng zero-day.”
