Chinese Volt Typhoon APT riktar sig till amerikanska enheter

Den kinesiska nationalstatsaktören känd som Volt Typhoon, även kallad Brons Silhouette, har nyligen upptäckts ha aktivt bedrivit cyberspionageverksamhet sedan mitten av 2020. Gruppen, identifierad av cybersäkerhetsföretaget CrowdStrike som Vanguard Panda, har visat sofistikerade hantverk för att upprätthålla långvarig tillgång till sina riktade organisationer.

Enligt CrowdStrikes upptäckter har Volt Typhoon konsekvent använt ManageEngine Self-service Plus som sin första ingångspunkt, följt av anpassade webbskal för att säkerställa beständig åtkomst. De har också använt metoder för att leva utanför landet för sidorörelse inom de komprometterade nätverken.

Volt Typhoon riktar sig till organisationer i USA

De primära målen för Volt Typhoons cyberintrångsoperationer har varit den amerikanska regeringen, försvarsenheter och kritiska infrastrukturorganisationer. Deras taktik prioriterar operativ säkerhet och förlitar sig på ett omfattande utbud av verktyg med öppen källkod för att utföra långsiktiga skadliga aktiviteter mot ett begränsat antal offer.

Gruppen har visat en preferens för att använda webbskal för uthållighet och förlitar sig på att leva utanför landets binärer i korta skurar av aktivitet för att uppnå sina mål. I en specifik incident riktad mot en okänd kund, utnyttjade Vanguard Panda tjänsten Zoho ManageEngine ADSelfService Plus som körs på en Apache Tomcat-server för att utföra misstänkta kommandon relaterade till processuppräkning och nätverksanslutning.

CrowdStrikes analys av Tomcat-åtkomstloggar avslöjade HTTP POST-förfrågningar till /html/promotion/selfsdp.jspx, ett webbskal förklädd som en legitim identitetssäkerhetslösning för att undvika upptäckt. Detta webbskal hade troligen utplacerats månader före själva attacken, vilket tyder på omfattande spaning av målnätverket.

Sårbarhet sannolikt attackvektor för den kinesiska APT

Även om den exakta metoden som används av Vanguard Panda för att bryta mot ManageEngine-miljön fortfarande är oklar, pekar bevis på utnyttjandet av CVE-2021-40539, en kritisk autentiseringssårbarhet som möjliggör fjärrkörning av kod. Hotaktören försökte dölja sina spår genom att ta bort artefakter och manipulera åtkomstloggar, men deras försök misslyckades, vilket ledde till upptäckten av ytterligare webbskal och bakdörrar.

En av dessa upptäckter inkluderar en JSP-fil som erhållits från en extern server, som backdoors filen "tomcat-websocket.jar" genom att använda en relaterad JAR-fil som heter "tomcat-ant.jar." Den trojaniserade versionen av tomcat-websocket.jar innehåller tre nya Java-klasser (A, B och C), där A.class fungerar som ännu ett webbskal som kan utföra Base64-kodade och AES-krypterade kommandon.