O recém-descoberto grupo de hackers chineses conhecido como Volt Typhoon tem sido observado em atividade pelo menos desde meados de 2020, com o grupo de hackers ligado a uma técnica antes nunca vista para manter o acesso remoto a alvos de interesse.
As descobertas vêm da CrowdStrike, que está rastreando o adversário sob o nome Vanguard Panda.
"O adversário consistentemente empregou exploits do ManageEngine Self-service Plus para obter acesso inicial, seguido por web shells personalizados para acesso persistente e técnicas de living-off-the-land (LotL) para movimento lateral", disse a empresa de segurança cibernética.
Volt Typhoon, também conhecido como Bronze Silhouette, é um grupo de espionagem cibernética da China que foi ligado a operações de intrusão de rede contra o governo dos EUA, defesa e outras organizações de infraestrutura crítica.
Uma análise do modus operandi do grupo revelou sua ênfase em segurança operacional, usando cuidadosamente um extenso conjunto de ferramentas de código aberto contra um número limitado de vítimas para realizar atos maliciosos de longo prazo.
Foi descrito como um grupo de ameaças que "favorece web shells para persistência e depende de curtos períodos de atividade envolvendo principalmente binários living-off-the-land para alcançar seus objetivos".
Em um incidente malsucedido visando um cliente não especificado, o ator direcionou o serviço Zoho ManageEngine ADSelfService Plus em um servidor Apache Tomcat para desencadear a execução de comandos suspeitos relacionados à enumeração de processos e conectividade de rede, entre outros.
"As ações do Vanguard Panda indicaram familiaridade com o ambiente-alvo, devido à sucessão rápida de seus comandos, bem como tendo nomes de host e IPs internos específicos para pingar, compartilhamentos remotos para montar e credenciais em texto simples para usar para WMI", disse a CrowdStrike.
Uma análise mais detalhada dos logs de acesso do Tomcat revelou vários pedidos POST HTTP para /html/promotion/selfsdp, um web shell que é camuflado como a solução de segurança de identidade legítima para evitar detecção.
Acredita-se que o web shell tenha sido implantado quase seis meses antes da atividade hands-on-keyboard mencionada acima, indicativa de reconhecimento prévio extenso da rede-alvo.
Embora não esteja imediatamente claro como o Vanguard Panda conseguiu invadir o ambiente ManageEngine, todos os sinais apontam para a exploração do
CVE-2021-40539
, uma falha crítica de bypass de autenticação com a execução remota de código resultante.
Suspeita-se que o ator de ameaça tenha excluído artefatos e adulterado os logs de acesso para obscurecer o rastro forense.
No entanto, em um erro flagrante, o processo não levou em conta os arquivos de classe e fonte Java que foram gerados durante o curso do ataque, levando à descoberta de mais web shells e backdoors.
Isso inclui um arquivo JSP que provavelmente foi recuperado de um servidor externo e que é projetado para backdoor "tomcat-websocket.jar" usando um arquivo JAR auxiliar chamado "tomcat-ant.jar" que também é buscado remotamente por meio de um web shell, após o qual são realizadas ações de limpeza para encobrir as trilhas.
A versão trojanizada do tomcat-websocket.jar é equipada com três novas classes Java - chamadas A, B e C - com A.class funcionando como outro web shell capaz de receber e executar comandos codificados em Base64 e criptografados em AES.
"O uso de uma biblioteca Apache Tomcat com backdoor é uma TTP de persistência não divulgada anteriormente em uso pelo Vanguard Panda", disse a CrowdStrike, observando com confiança moderada que o implante é usado para "permitir acesso persistente a alvos de alto valor selecionados após a fase de acesso inicial das operações usando então vulnerabilidades zero-day".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...