Китайские хакеры придумали новую, ранее неизвестную тактику атак на госорганы и военные предприятия
Скрытная группа Vanguard Panda/Volt Typhoon применяет троянизированные опенсорсные библиотеки, чтобы оставаться в атакованных сетях длительное время, и легитимные утилиты для разведки сетей. Но начинается все с эксплуатации старой уязвимости.
Призрак панды в критической инфраструктуре
Эксперты компании CrowdStrike описали новую APT-группировку, предположительно китайского происхождения, которая специализируется на атаках на критическую инфраструктуру. Для этого хакеры используют новую методику, которую до сих пор никогда наблюдать не доводилось.
В публикации CrowdStrike, которая называет группировку Vanguard Panda, указывается, что та использует эксплойты к ManageEngine Self-Service Plus для получения изначального доступа. За этим следует установка веб-шеллов для обеспечения постоянства доступа, использование различных методов living-off-the-land для скрытого перемещения по Сети и нового метода для обеспечения постоянства присутствия.
ManageEngine — это производитель программных решение для ИТ-администрирования. Под Self-Service Plus, по-видимому, подразумевается ADSelfService Plus, разработка для работы с паролями и авторизацией к Active Directory в корпоративных средах.
Что касается понятия living-off-the-land, то здесь речь идет об эксплуатации различных легитимных утилит для осуществления вредоносных операций — с целью обеспечения скрытности.
Vanguard Panda (также известная как Volt Typhoon и Bronze Silhouette) считается кибершпионской группой, связанной со спецслужбами Китая, и специализирующейся на вторжениях в системы правительства США, оборонных организаций и объектов критической инфраструктуры.
Группа известна своим щепетильным отношением к операционной безопасности (т. е. скрытности) и использованием общедоступных инструментов. В большей части случаев атаки носят узконаправленный характер, так что группировка долго оставалась незамеченной. Начало ее деятельности примерно датировано серединой 2020 г.
Уязвимости, веб-шеллы и троянизированные библиотеки
В CrowdStrike указывают, что эта группировка «предпочитает использовать веб-шеллы для обеспечения стабильности и полагается на короткие всплески активности с преимущественным использованием LOTL-утилит для достижения своих целей».
В ходе одной неудавшейся атаки хакеры нацелились на службу Zoho ManageEngine ADSelfService Plus, работавшую на базе сервера Apache Tomcat, и запустили серию подозрительных команд по нумерации процессов и каталогизации сетевых соединений.
Действия атакующих явственно указывали на то, что они знакомы с целевой средой, указывают в публикации CrowdStrike: об этом свидетельствовали «быстрая последовательность команд, указание конкретных внутренних наименований хостов и IP-адресов, наличие монтировавшихся внешних накопителей и незашифрованных реквизитов для WMI».
Изучение логов доступа к Tomcat позволило обнаружить несколько запросов HTTP POST к /html/promotion/selfsdp.jspx, веб-шеллу, замаксированному под легитимное решение по защите идентификации, которое использовалось для обхода обнаружения.
Этот веб-шелл был разработан примерно за шесть месяцев до непосредственной атаки, а значит, хакеры произвели основательную разведку сети, которую собирались атаковать.
Как именно Vanguard Panda взламывает среды ManageEngine, до конца не ясно, но многое указывает на эксплуатацию критической уязвимости CVE-2021-40539, позволяющей обходить авторизацию и запускать произвольный код удаленно.
«С подобными уязвимостями злоумышленники могут делать в целевой среде все, что им заблагорассудится, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Если первичное проникновение осуществлялось именно через такую брешь, то злоумышленники могли находиться в уязвимой среде сколько угодно и собирать всю интересующую их информацию в течение длительного срока».
Операторы атаки, скорее всего, удалили массу артефактов, оставшихся от атаки, и зачистили логи. Однако одного они почему-то не учли: на сервере остались скомпилированные файлы классов Java, сгенерированные в ходе вредоносных манипуляций. Это позволило обнаружить еще некоторое количество веб-шеллов и бэкдоров.
В числе таковых — JSP-файл, который, скорее всего, был закачен с внешнего сервера и предназначался для установки бэкдора tomcat-websocket.jar с применением вспомогательного файла JAR под названием tomcat-ant.jar. Этот файл также загружался удаленно с помощью веб-шелла, после чего запускались процедуры устранения следов.
Троянизированная версия tomcat-websocket.jar оснащена тремя новыми классами Java — с именами A, B и C, причем A.class функционирует как еще один веб-шелл, способный получать и выполнять команды, закодированные с помощью Base64 и AES.
«Использование VanguardPandaбиблиотеки ApacheTomcat, уже снабженной бэкдором, — это впервые наблюдаемый метод обеспечения постоянства присутствия», — указывается в публикации CrowdStrike.
Эксперты предполагают со средней степенью уверенности, что этот имплант использовался для «обеспечения постоянного доступа к сетям особо значимых целей, отобранных после первичной стадии операции — проникновения с помощью тогда еще неизвестных вендорам уязвимостей».