Volt Typhoon olarak bilinen yeni keşfedilen Çin ulus-devlet aktörünün, en azından 2020’nin ortalarından beri vahşi doğada aktif olduğu gözlemlendi ve bilgisayar korsanlığı ekibi, ilgili hedeflere uzaktan erişimi sürdürmek için daha önce hiç görülmemiş ticari araçlara bağlandı.
Bulgular, rakibi adı altında takip eden CrowdStrike’tan geliyor. Öncü Panda.
Siber güvenlik şirketi, “Düşman, ilk erişimi elde etmek için sürekli olarak ManageEngine Self-service Plus istismarlarını kullandı, ardından kalıcı erişim için özel web kabukları ve yanal hareket için arazide yaşama (LotL) teknikleri izledi” dedi.
Bronz Siluet olarak bilinen Volt Typhoon, ABD hükümeti, savunma ve diğer kritik altyapı kuruluşlarına karşı ağ izinsiz giriş operasyonlarıyla bağlantılı olan Çin’den bir siber casusluk grubudur.
Grubun çalışma tarzının bir analizi, uzun vadeli kötü niyetli eylemler gerçekleştirmek için sınırlı sayıda kurbana karşı kapsamlı bir açık kaynak araçları setini dikkatli bir şekilde kullanarak operasyonel güvenliğe vurgu yaptığını ortaya koydu.
Ayrıca, “kalıcılık için web kabuklarını tercih eden ve hedeflerine ulaşmak için öncelikle kara dışında yaşayan ikili dosyaları içeren kısa faaliyet patlamalarına dayanan” bir tehdit grubu olarak tanımlandı.
Belirsiz bir müşteriyi hedef alan başarısız bir olayda aktör, diğerlerinin yanı sıra işlem sıralaması ve ağ bağlantısıyla ilgili şüpheli komutların yürütülmesini tetiklemek için bir Apache Tomcat sunucusunda çalışan Zoho ManageEngine ADSelfService Plus hizmetini hedef aldı.
CrowdStrike, “Vanguard Panda’nın eylemleri, komutlarının hızla art arda gelmesinin yanı sıra ping yapılacak belirli dahili ana bilgisayar adlarına ve IP’lere, bağlanacak uzak paylaşımlara ve WMI için kullanılacak düz metin kimlik bilgilerine sahip olması nedeniyle hedef ortama aşina olduğunu gösterdi” dedi.
Tomcat erişim günlüklerinin daha yakından incelenmesi, tespitten kaçınmak için meşru kimlik güvenliği çözümü olarak kamufle edilmiş bir web kabuğu olan /html/promotion/selfsdp.jspx’e yönelik birkaç HTTP POST isteğini ortaya çıkardı.
Web kabuğunun, hedef ağın önceden kapsamlı bir şekilde keşfedildiğini gösteren, yukarıda belirtilen uygulamalı klavye faaliyetinden yaklaşık altı ay önce konuşlandırıldığına inanılıyor.
Vanguard Panda’nın ManageEngine ortamını nasıl aşmayı başardığı hemen belli olmasa da, tüm işaretler, uzaktan kod yürütmeyle sonuçlanan kritik bir kimlik doğrulama atlama kusuru olan CVE-2021-40539’un kötüye kullanıldığını gösteriyor.
Tehdit aktörünün eserleri sildiğinden ve adli tıp izini gizlemek için erişim günlüklerini kurcaladığından şüpheleniliyor. Bununla birlikte, bariz bir yanlış adımda, süreç, saldırı sırasında oluşturulan Java kaynağını ve derlenmiş sınıf dosyalarını hesaba katamadı ve bu da daha fazla web kabuğunun ve arka kapıların keşfedilmesine yol açtı.
Bu, muhtemelen harici bir sunucudan alınan ve yine bir web aracılığıyla uzaktan getirilen “tomcat-ant.jar” adlı bir yardımcı JAR dosyası kullanılarak “tomcat-websocket.jar” dosyasının arka kapısı için tasarlanmış bir JSP dosyasını içerir. kabuk, bundan sonra izleri örtmek için temizleme eylemleri gerçekleştirilir.
Tomcat-websocket.jar’ın truva atına dönüştürülmüş sürümü, A, B ve C olarak adlandırılan üç yeni Java sınıfıyla donatılmıştır ve A.class, Base64 ile kodlanmış ve AES ile şifrelenmiş komutları alıp yürütebilen başka bir web kabuğu işlevi görür.
CrowdStrike, “Arka kapılı bir Apache Tomcat kitaplığının kullanımı, Vanguard Panda tarafından kullanılan daha önce açıklanmayan bir kalıcı TTP’dir,” dedi ve implantın “ilk erişim aşamasından sonra aşağı doğru seçilen yüksek değerli hedeflere kalıcı erişimi sağlamak için” kullanıldığını ölçülü bir güvenle belirtti. sıfır gün güvenlik açıklarını kullanan operasyonların sayısı.”