Menu dostępności

chiński atak na infrastrukture krytyczną w usa

Chińscy hakerzy atakują infrastrukturę krytyczną nową techniką

24 maja 2023 r. źródła branżowe i rządowe szczegółowo opisały działania China-nexus, w ramach których ugrupowanie cyberprzestępcze zwane Volt Typhoon atakowało podmioty infrastruktury krytycznej z siedzibą w USA. CrowdStrike Intelligence śledzi tego aktora jako VANGUARD PANDA.

Jeden konkretny incydent VANGUARD PANDA wyróżnia się na tle innych. System EDR od CrowdStrike wykrył wywołane polecenia rozpoznawcze wykonane na serwerze WWW Apache Tomcat z uruchomionym programem ManageEngine ADSelfService Plus – pisaliśmy o tej podatności tutaj.

Złośliwa aktywność wyszczególniona w wykryciu obejmowała wyświetlanie procesów, testowanie łączności sieciowej, zbieranie informacji o użytkownikach i grupach, montowanie udziałów, sprawdzanie relacji zaufania domeny przez WMI oraz wyświetlanie stref DNS. Działania VANGUARD PANDA wskazywały na znajomość docelowego środowiska ze względu na szybkie następstwo poleceń, a także posiadanie określonych wewnętrznych nazw hostów i adresów IP do pingowania, zdalnych udziałów do zamontowania oraz poświadczeń w postaci jawnego tekstu do użycia w WMI.

Zespół Falcon Complete wykrył zdarzenie i rozpoczął analizę techniczną logów dostępowych Apache Tomcat znajdujących się w C:\ManageEngine\ADSelfService Plus\logs.

Podczas przeglądania dzienników dostępu znaleziono wiele żądań HTTP POST do /html/promotion/selfsdp.jspx z sygnaturami czasowymi pasującymi do poleceń wyliczania i rekonesansu pojawiających się z serwera WWW Apache Tomcat. Na podstawie identyfikatora URI z logów zidentyfikowano folder i plik na dysku znajdujące się w C:\ManageEngine\ADSelfService Plus\webapps\adssp\html\promotion\selfsdp.jspx.

Po analizie pliku .jspx okazało się, że jest to powłoka internetowa oparta na kodzie JavaScript, który konwertuje odpowiednio bajty 99, 109 i 100 na cmd, a bajty 47 i 47 do /c. Wykonanie polecenia cmd /c to powszechna metoda, za pomocą której powłoki internetowe uruchamiają komendy w ramach procesu Command Prompt:

ProcessBuilder pb = new ProcessBuilder(new String(new byte[]{99, 109, 100}), 

Ponadto powłoka internetowa próbowała podszywać się pod legalny plik ManageEngine ADSelfService Plus, ustawiając jego tytuł na ManageEngine ADSelfService Plus i dodając linki do legalnego oprogramowania pomocy technicznej dla firm.

Teraz retrospektywny przegląd powłoki internetowej selfsdp.jspx zwróci pomyślne dopasowania reguły o nazwie EncryptJSP YARA wydanej przez CISA, która raportuje aktywność Volt Typhoon.

źródło: Crowdstrike.com

CISA informuje również, że VANGUARD PANDA używał następującego User-Agenta:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101 Firefox/68.0

Dalsze dochodzenie

Liczba niewyjaśnionych zdarzeń na tym etapie dochodzenia w odniesieniu do typowego incydentu sama w sobie stała się czerwoną flagą, uzasadniając dalsze dochodzenie, ponieważ:

  • VANGUARD PANDA najwyraźniej przeprowadził obszerne wcześniejsze rozpoznanie (w oparciu o swoją wiedzę i wykorzystanie zdalnych hostów w środowisku),
  • poświadczenia administratora zostały już wcześniej uzyskane/naruszone,
  • oczekiwane artefakty w dziennikach dostępu dla luki CVE-2021-40539 nie istniały,
  • sonda Falcon została niedawno zainstalowana na docelowym hoście.

Przegląd istniejących dowodów wykazał, że zidentyfikowana powłoka webshell selfsdp.jspx została zapisana na dysku prawie 6 miesięcy przed instalacją agenta Falcon.

Korzystając z dzienników dostępu Apache Tomcat, CrowdStrike był w stanie skorelować czas zapisu na dysku pliku selfsdp.jspx z żądaniem HTTP POST do URI /html/error.jsp, gdzie aktor następnie wykonał żądanie HTTP GET do /html /promotion/selfsdp.jspx, aby potwierdzić swoją obecność w środowisku.

Mimo że czas tego działania pokrywał się z wykorzystaniem luki CVE-2021-40539, w logach dostępowych, dziennikach ManageEngine serverOut ani w dzienniku advert ManageEngine nie pozostały żadne takie artefakty. Brak wszystkich tych znaków w połączeniu z brakiem pliku error.jsp na dysku sugerował, że przeciwnik mógł próbować zatrzeć ślady.

Dalsza analiza logów serwera Apache Tomcat wykazała używanie powłoki internetowej selfsdp.jspx przez wiele miesięcy.

Słowo na koniec

W celu wykrycia tak dobrze przygotowanego ataku, korzystającego z legalnych bibliotek i procesów systemowych, należy wyposażyć się w odpowiednią ochronę. Sam AV nie wystarczy. Bez systemu klasy HIPS czy NDR, lub zaawansowanego agenta na końcówce bazującego na AI, nie wykryjemy ataku tego typu.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...