تستغل الآن APT الصينية "Volt Typhoon" Zoho ManageEngine

تم اكتشاف التهديد المستمر المتقدم والمدعوم من الدولة الصيني (APT) "Volt Typhoon" ، المعروف أيضًا باسم "Vanguard Panda" ، باستخدام ثغرة خطيرة في ManageEngine ADSelfService Plus من Zoho ، وهو حل واحد لإدارة كلمة المرور وتسجيل الدخول. وهي الآن تمتلك الكثير من آليات التخفي التي لم يتم الكشف عنها من قبل.

ظهر Volt Typhoon في المقدمة الشهر الماضي ، بفضل التقارير المشتركة من مایکروسافت و الوكالات الحكومية المختلفة. سلطت التقارير الضوء على إصابة المجموعة بالبنية التحتية الحيوية في منطقة المحيط الهادئ ، لاستخدامها كرأس جسر محتمل في المستقبل في حالة الصراع مع تايوان.

ذكرت التقارير بالتفصيل عدد من تكتيكات وتقنيات وإجراءات Volt Typhoon (TTPs)، بما في ذلك استخدامه لـ أجهزة Fortinet FortiGuard المعرضة للإنترنت للتطفل الأولي وإخفاء نشاط الشبكة عبر أجهزة التوجيه والجدران النارية وأجهزة VPN المخترقة.

لكن الحملة الأخيرة التي حددها CrowdStrike في ملف بلوق وظيفة الأخيرة يقترح أن Volt Typhoon مرن ، مع القدرة على تخصيص تكتيكاته بناءً على البيانات التي تم جمعها من خلال الاستطلاع المكثف. في هذه الحالة ، استخدمت المجموعة CVE-2021-40539 في ManageEngine للتطفل ، ثم قام بإخفاء غلاف الويب الخاص به كعملية شرعية ومسح السجلات أثناء سيرها.

هذه التكتيكات غير المعروفة سابقًا مكّنت من "الوصول الشامل إلى بيئة الضحية لفترة طويلة" ، كما يقول توم إثيريدج ، كبير مسؤولي الخدمات المهنية العالمية في CrowdStrike ، والذي لم يكشف عن تفاصيل حول موقع الضحية أو ملفها الشخصي. "كانوا على دراية بالبنية التحتية التي يمتلكها العميل ، وكانوا حريصين على تنظيف مساراتهم."

التكتيكات الإلكترونية المتطورة لفولت تايفون

شعرت حواس الباحثين في CrowdStrike بالوخز عندما بدا أن نشاطًا مشبوهًا ينبع من شبكة عميل مجهول الهوية.

يبدو أن الكيان الذي لم يتم التعرف عليه بعد ذلك يقوم بجمع معلومات مكثف - اختبار اتصال الشبكة ، وسرد العمليات ، وجمع معلومات المستخدم ، وأكثر من ذلك بكثير. وكتب الباحثون في منشورهم على المدونة "أشار إلى الإلمام بالبيئة المستهدفة ، نظرًا للتتابع السريع لأوامرهم ، بالإضافة إلى وجود أسماء مضيفين داخليين وعناوين IP محددة لبرنامج ping ، ومشاركات عن بُعد ليتم تحميلها ، وبيانات اعتماد ذات نص عادي لاستخدامها في [Windows Management Instrumentation]".

اتضح ، بعد بعض التحقيقات ، أن المهاجم - فولت تايفون - نشر قشرة إلكترونية على الشبكة قبل ستة أشهر كاملة. كيف مرت دون أن يلاحظها أحد لفترة طويلة؟

بدأت القصة بـ CVE-2021-40539، ثغرة خطيرة (9.8 CVSS) في تنفيذ التعليمات البرمجية عن بُعد (RCE) في ADSelfService Plus. برنامج ManageEngine ، و ADSelfService Plus على وجه الخصوص ، تم الكشف عنها بشكل حاسم في عدد من المناسبات في السنوات الأخيرة (CVE-2021-40539 ليست حتى أحدث ثغراتها الأمنية 9.8 CVSS RCE - يذهب هذا العنوان إلى CVE-2022-47966).

مع الوصول الأولي ، تمكن المهاجمون من إسقاط قذيفة الويب. هنا بدأ التسلل الأكثر إثارة للاهتمام ، حيث لاحظ الباحثون أن "webshell كان يحاول التنكر كملف شرعي لـ ManageEngine ADSelfService Plus من خلال تعيين عنوانه إلى ManageEngine ADSelfService Plus وإضافة روابط إلى برنامج مكتب المساعدة الخاص بالمؤسسة."

شرعت المجموعة في سحب بيانات اعتماد المسؤول والتحرك أفقياً في الشبكة. وأوضح الباحثون أن الأمر يتطلب منهجًا يدويًا فظًا لتغطية مساراته هذه المرة ، والذهاب إلى "أطوال طويلة لمسح ملفات السجل المتعددة وإزالة الملفات الزائدة من القرص".

كان التلاعب بالأدلة واسع النطاق ، ويكاد يقضي على كل آثار النشاط الضار. ومع ذلك ، فقد نسى المهاجمون مسح كود مصدر Java وقاموا بتجميع ملفات Class من خادم الويب Apache Tomcat المستهدف.

يقول إثيريدج: "لولا تلك الزلة الطفيفة التي تم الإبلاغ عنها في المدونة ، فمن المحتمل أن تمر مرور الكرام دون أن يلاحظها أحد".

كيفية الدفاع عن Volt Typhoon Cyberattacks

حتى الآن ، لوحظ أن Volt Typhoon يستهدف المنظمات في قطاعات الاتصالات والتصنيع والمرافق والنقل والبناء والبحرية والحكومة وتكنولوجيا المعلومات والتعليم. ومع ذلك ، فإن الأمر الأكثر شهرة هو البحث عن البنية التحتية الحيوية في الولايات المتحدة وغوام - نقطة استراتيجية للدفاع الأمريكي عن تايوان ضد الصين.

وفقًا لإيثريدج ، يمكن تطبيق بعض المبادئ نفسها في دراسة الحالة هذه بالتساوي على خرق خطير للبنية التحتية. ويشير إلى أن "البيئات من نوع التكنولوجيا التشغيلية (OT) يتم استهدافها عادةً من خلال البنية التحتية لتكنولوجيا المعلومات أولاً ، قبل أن ينتقل الفاعل المهدد إلى البنية التحتية". "من المؤكد أن التكتيكات التي نراهم ينشرونها ستكون مثيرة للقلق من منظور البنية التحتية الحيوية."

لمواجهة تهديد Volt Typhoon ، يقول Etheridge ، تتمثل إحدى النقاط الرئيسية في إدارة الهوية.

"الهوية هي تحد كبير لكثير من المنظمات. لقد رأينا ارتفاعًا كبيرًا في الإعلانات عن أوراق الاعتماد المسروقة ، ويتم الاستفادة من أوراق الاعتماد المسروقة على نطاق واسع جدًا في الحوادث التي نرد عليها كل يوم "، كما يقول. في هذه الحالة ، كانت القدرة على الاستفادة من أوراق الاعتماد المسروقة عاملاً أساسيًا لبقاء فولت تايفون تحت الرادار لعدة أشهر.

يؤكد إثيريدج أيضًا على أهمية مطاردة التهديدات والاستجابة للحوادث. من المعروف أن الجهات الفاعلة في تهديد الدولة القومية من المستحيل التوقف تمامًا ، ولكن المنظمات ستكون أكثر استعدادًا للتخفيف من أسوأ العواقب المحتملة ، كما يقول ، إذا كانت قادرة على "فهم متى يحدث شيء ما في بيئتك ، والقدرة على تحمل الإجراء التصحيحي بسرعة ".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.darkreading.com/cloud/china-volt-typhoon-apt-zoho-manageengine-fresh-cyberattacks