Разделы

Безопасность ИТ в госсекторе Техника

Китайские хакеры придумали новую, ранее неизвестную тактику атак на госорганы и военные предприятия

Скрытная группа Vanguard Panda/Volt Typhoon применяет троянизированные опенсорсные библиотеки, чтобы оставаться в атакованных сетях длительное время, и легитимные утилиты для разведки сетей. Но начинается все с эксплуатации старой уязвимости.

Призрак панды в критической инфраструктуре

Эксперты компании CrowdStrike описали новую APT-группировку, предположительно китайского происхождения, которая специализируется на атаках на критическую инфраструктуру. Для этого хакеры используют новую методику, которую до сих пор никогда наблюдать не доводилось.

В публикации CrowdStrike, которая называет группировку Vanguard Panda, указывается, что та использует эксплойты к ManageEngine Self-Service Plus для получения изначального доступа. За этим следует установка веб-шеллов для обеспечения постоянства доступа, использование различных методов living-off-the-land для скрытого перемещения по Сети и нового метода для обеспечения постоянства присутствия.

ManageEngine — это производитель программных решение для ИТ-администрирования. Под Self-Service Plus, по-видимому, подразумевается ADSelfService Plus, разработка для работы с паролями и авторизацией к Active Directory в корпоративных средах.

Китайская группировка использует новый метод обеспечения продолжительности своих атак

Что касается понятия living-off-the-land, то здесь речь идет об эксплуатации различных легитимных утилит для осуществления вредоносных операций — с целью обеспечения скрытности.

Vanguard Panda (также известная как Volt Typhoon и Bronze Silhouette) считается кибершпионской группой, связанной со спецслужбами Китая, и специализирующейся на вторжениях в системы правительства США, оборонных организаций и объектов критической инфраструктуры.

Группа известна своим щепетильным отношением к операционной безопасности (т. е. скрытности) и использованием общедоступных инструментов. В большей части случаев атаки носят узконаправленный характер, так что группировка долго оставалась незамеченной. Начало ее деятельности примерно датировано серединой 2020 г.

Уязвимости, веб-шеллы и троянизированные библиотеки

В CrowdStrike указывают, что эта группировка «предпочитает использовать веб-шеллы для обеспечения стабильности и полагается на короткие всплески активности с преимущественным использованием LOTL-утилит для достижения своих целей».

В ходе одной неудавшейся атаки хакеры нацелились на службу Zoho ManageEngine ADSelfService Plus, работавшую на базе сервера Apache Tomcat, и запустили серию подозрительных команд по нумерации процессов и каталогизации сетевых соединений.

Действия атакующих явственно указывали на то, что они знакомы с целевой средой, указывают в публикации CrowdStrike: об этом свидетельствовали «быстрая последовательность команд, указание конкретных внутренних наименований хостов и IP-адресов, наличие монтировавшихся внешних накопителей и незашифрованных реквизитов для WMI».

Изучение логов доступа к Tomcat позволило обнаружить несколько запросов HTTP POST к /html/promotion/selfsdp.jspx, веб-шеллу, замаксированному под легитимное решение по защите идентификации, которое использовалось для обхода обнаружения.

Этот веб-шелл был разработан примерно за шесть месяцев до непосредственной атаки, а значит, хакеры произвели основательную разведку сети, которую собирались атаковать.

НИКИЭТ перевел систему электронного документооборота «Дело» на СУБД Postgres Pro
Цифровизация

Как именно Vanguard Panda взламывает среды ManageEngine, до конца не ясно, но многое указывает на эксплуатацию критической уязвимости CVE-2021-40539, позволяющей обходить авторизацию и запускать произвольный код удаленно.

«С подобными уязвимостями злоумышленники могут делать в целевой среде все, что им заблагорассудится, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Если первичное проникновение осуществлялось именно через такую брешь, то злоумышленники могли находиться в уязвимой среде сколько угодно и собирать всю интересующую их информацию в течение длительного срока».

Операторы атаки, скорее всего, удалили массу артефактов, оставшихся от атаки, и зачистили логи. Однако одного они почему-то не учли: на сервере остались скомпилированные файлы классов Java, сгенерированные в ходе вредоносных манипуляций. Это позволило обнаружить еще некоторое количество веб-шеллов и бэкдоров.

В числе таковых — JSP-файл, который, скорее всего, был закачен с внешнего сервера и предназначался для установки бэкдора tomcat-websocket.jar с применением вспомогательного файла JAR под названием tomcat-ant.jar. Этот файл также загружался удаленно с помощью веб-шелла, после чего запускались процедуры устранения следов.

Алексей Котов, OpenYard: «Мы изначально хотели делать качественный продукт для задач бизнеса, а уже затем представлять его на рынке»
техника

Троянизированная версия tomcat-websocket.jar оснащена тремя новыми классами Java — с именами A, B и C, причем A.class функционирует как еще один веб-шелл, способный получать и выполнять команды, закодированные с помощью Base64 и AES.

«Использование VanguardPandaбиблиотеки ApacheTomcat, уже снабженной бэкдором, — это впервые наблюдаемый метод обеспечения постоянства присутствия», — указывается в публикации CrowdStrike.

Эксперты предполагают со средней степенью уверенности, что этот имплант использовался для «обеспечения постоянного доступа к сетям особо значимых целей, отобранных после первичной стадии операции — проникновения с помощью тогда еще неизвестных вендорам уязвимостей».

Роман Георгиев



CNews Forum 2024 CNews Forum 2024

erid:

Рекламодатель:

ИНН/ОГРН:

byteoilgas_conf 2024 byteoilgas_conf 2024

erid:

Рекламодатель:

ИНН/ОГРН:

LANSOFT: время комплексных бизнес-решений LANSOFT: время комплексных бизнес-решений

erid:

Рекламодатель:

ИНН/ОГРН:

Orion Digital Day Orion Digital Day

erid:

Рекламодатель:

ИНН/ОГРН:

ELMA DAY ELMA DAY

erid:

Рекламодатель:

ИНН/ОГРН: