据观察,新发现的CN国家行为者被称为Volt Typhoon,至少从2020年中期开始在野外活动,其黑客团队与以前从未见过的传统技术有关,以保持对感兴趣的目标的远程访问。
这些发现来自CrowdStrike,该公司正以Vanguard Panda的名义追踪该对手。
"该网络安全公司说:"对手一直采用ManageEngine Self-service Plus漏洞来获得初始访问权,然后采用自定义网络外壳进行持续访问,并采用lotL技术进行横向移动。
Volt Typhoon,又称Bronze Silhouette,是一个来自CN的网络间谍组织,与针对美国政府、国防和其他关键基础设施组织的网络入侵行动有关。
"CrowdStrike公司首席全球专业服务官汤姆-埃瑟里奇(Tom Etheridge)告诉《黑客新闻》说:"据了解,这个对手利用凭证和离地生活技术保持隐蔽,并在目标环境中快速移动。
对该组织作案手法的分析表明,它强调操作安全,谨慎地使用一套广泛的开源工具来对付数量有限的受害者,实施长期的恶意行为。
它被进一步描述为一个威胁集团,"偏爱网络外壳的持久性,并依靠主要涉及活体二进制的短时间活动来实现其目标"。
在一次针对一个不知名客户的不成功事件中,该行为人将目标锁定在运行在Apache Tomcat服务器上的Zoho ManageEngine ADSelfService Plus服务,以触发执行与进程枚举和网络连接等有关的可疑命令。
"CrowdStrike说:"Vanguard Panda的行动表明他们对目标环境很熟悉,因为他们的命令快速连续,而且有特定的内部主机名和IP可以ping,有远程共享可以挂载,还有用于WMI的明文凭证。
对Tomcat访问日志的仔细检查发现了几个对/html/promotion/selfsdp.jspx的HTTP POST请求,这是一个伪装成合法身份安全解决方案的网络外壳,以躲避检测。
据信,这个网络外壳是在上述键盘活动之前近6个月部署的,表明事先对目标网络进行了广泛侦察。
虽然目前还不清楚Vanguard Panda是如何攻破ManageEngine环境的,但所有迹象都表明是利用了CVE-2021-40539,这是一个关键的认证绕过缺陷,导致了远程代码执行。
人们怀疑威胁者删除了人工制品并篡改了访问日志以掩盖取证线索。然而,在一个明显的失误中,该过程未能说明在攻击过程中产生的Java源代码和编译类文件,导致发现了更多的网络外壳和后门。
这包括一个JSP文件,该文件很可能是从外部服务器获取的,其目的是通过利用一个名为 "tomcat-ant.jar "的辅助JAR文件来对 "tomcat-websocket.jar "进行后门,该文件也是通过Web shell远程获取的,之后进行清理操作以掩盖痕迹。
tomcat-websocket.jar的特洛伊版本装有三个新的Java类--命名为A、B和C--其中A.class作为另一个web shell,能够接收和执行Base64编码和AES加密的命令。
CrowdStrike说:"使用被封锁的Apache Tomcat库是Vanguard Panda以前未披露的持久性TTP,"他有把握地指出,该植入物被用来 "利用当时的零日漏洞,在行动的初始访问阶段后实现对高价值目标的持久性访问。"
"在这种情况下,[......]Vanguard Panda对受害者的环境有先进的了解,表明他们是持久性的,在我们的技术部署之前,在他们进行侦察工作时没有被发现,"Etheridge解释说。"此外,它还移动证据,在他们深入受害者的基础设施时掩盖他们的踪迹。"