APT 'Volt Typhoon' چین اکنون از Zoho ManageEngine بهره برداری می کند

تهدید دائمی پیشرفته (APT) تحت حمایت دولت چین که اخیراً کشف شده است، "Volt Typhoon" با نام "Vanguard Panda" با استفاده از یک آسیب پذیری حیاتی در ManageEngine ADSelfService Plus Zoho، یک راه حل مدیریت ورود به سیستم و رمز عبور مشاهده شده است. و اکنون مکانیسم‌های مخفی‌کاری که قبلاً فاش نشده بود، بسیار زیاد است.

ولت تایفون ماه گذشته به لطف گزارش‌های مشترکی که از سوی این سازمان منتشر شد، مطرح شد مایکروسافت و سازمان های دولتی مختلف. این گزارش‌ها آلودگی زیرساخت‌های حیاتی این گروه را در منطقه اقیانوس آرام نشان می‌دهد تا در صورت درگیری با تایوان به عنوان ساحل احتمالی آینده مورد استفاده قرار گیرد.

گزارش ها به تفصیل تعدادی از تاکتیک‌ها، تکنیک‌ها و رویه‌های Volt Typhoon (TTP)، از جمله استفاده از آن دستگاه های Fortinet FortiGuard در معرض اینترنت برای نفوذ اولیه و مخفی کردن فعالیت شبکه از طریق روترها، فایروال ها و سخت افزار VPN در معرض خطر.

اما کمپین اخیری که توسط CrowdStrike در یک پست های اخیر وبلاگ نشان می دهد که Volt Typhoon انعطاف پذیر است و توانایی شخصی سازی تاکتیک های خود را بر اساس داده های جمع آوری شده از طریق شناسایی گسترده دارد. در این مورد، گروه استفاده کرد CVE-2021-40539 در ManageEngine برای نفوذ، سپس پوسته وب خود را به عنوان یک فرآیند قانونی پوشانده و گزارش‌ها را در حین انجام آن پاک می‌کند.

تام اتریج، مدیر ارشد خدمات حرفه‌ای جهانی برای CrowdStrike، که جزئیاتی در مورد موقعیت یا مشخصات قربانی فاش نکرد، می‌گوید: این تاکتیک‌های ناشناخته قبلی، «دسترسی فراگیر به محیط قربانی را برای مدت طولانی امکان‌پذیر کرد». "آنها با زیرساخت هایی که مشتری داشت آشنا بودند و در تمیز کردن مسیرهای خود کوشا بودند."

تاکتیک های سایبری در حال تحول Volt Typhoon

هنگامی که به نظر می رسید فعالیت مشکوکی از شبکه مشتری ناشناس آن سرچشمه می گیرد، حواس پرخاشگرانه محققان CrowdStrike می سوزد.

به نظر می‌رسید که نهادی که در آن زمان به رسمیت شناخته نشده بود، جمع‌آوری اطلاعات گسترده‌ای را انجام می‌داد - آزمایش اتصال شبکه، فهرست‌بندی فرآیندها، جمع‌آوری اطلاعات کاربر و موارد دیگر. این "نشان دهنده آشنایی با محیط هدف، به دلیل توالی سریع دستورات آنها، و همچنین داشتن نام هاست داخلی و IP های خاص برای پینگ، اشتراک گذاری از راه دور برای نصب، و اعتبارنامه متن ساده برای استفاده برای [Windows Management Instrumentation] بود." محققان در پست وبلاگ خود نوشتند.

پس از مدتی بررسی مشخص شد که مهاجم - Volt Typhoon - شش ماه قبل یک پوسته وب را روی شبکه مستقر کرده بود. چگونه برای مدت طولانی مورد توجه قرار نگرفت؟

داستان با شروع شد CVE-2021-40539، یک آسیب پذیری حیاتی (9.8 امتیاز CVSS) اجرای کد از راه دور (RCE) در ADSelfService Plus. نرم افزار ManageEngine و به طور خاص ADSelfService Plus، به طور انتقادی افشا شده است در چند مورد در سال‌های اخیر (CVE-2021-40539 حتی جدیدترین آسیب‌پذیری مهم 9.8 CVSS RCE آن نیست - این عنوان به CVE-2022-47966).

با دسترسی اولیه، مهاجمان توانستند یک پوسته وب را رها کنند. اینجا جایی بود که مخفی کاری جالب‌تر آغاز شد، زیرا محققان مشاهده کردند که "شل وب در تلاش بود تا با قرار دادن عنوان آن بر ManageEngine ADSelfService Plus و افزودن پیوندهایی به نرم‌افزار میز کمک قانونی سازمانی، به عنوان یک فایل قانونی از ManageEngine ADSelfService Plus ظاهر شود."

گروه اقدام به استخراج اعتبار مدیر و حرکت جانبی در شبکه کرد. محققان توضیح دادند که این بار برای پوشاندن مسیرهای خود یک رویکرد دستی و خام تر را در نظر گرفت، و محققان توضیح دادند که "برای پاک کردن چندین فایل گزارش و حذف فایل های اضافی از دیسک، تلاش های زیادی انجام شد."

دستکاری شواهد گسترده بود و تقریباً تمام آثار فعالیت های مخرب را از بین برد. با این حال، مهاجمان فراموش کردند کد منبع جاوا را پاک کنند و فایل‌های کلاس را از سرور وب آپاچی تامکت مورد نظر خود کامپایل کردند.

اتریج می‌گوید: «اگر این لغزش‌های جزئی که در وبلاگ گزارش شده نبود، احتمالاً مورد توجه قرار نمی‌گرفتند.

چگونه در برابر حملات سایبری ولتاژ تایفون دفاع کنیم

تاکنون، ولت تایفون سازمان‌هایی را در بخش‌های ارتباطات، تولید، تاسیسات، حمل‌ونقل، ساخت‌وساز، دریایی، دولتی، فناوری اطلاعات و آموزش هدف قرار داده است. با این حال، برای جستجوی زیرساخت های حیاتی در ایالات متحده و گوام قابل توجه است - نقطه استراتژیک دفاع آمریکا از تایوان در برابر چین.

به گفته اتریج، برخی از اصول مشابه در این مطالعه موردی می‌توانند به همان اندازه در مورد نقض زیرساخت حیاتی اعمال شوند. او خاطرنشان می کند: «محیط های نوع فناوری عملیاتی (OT) معمولاً ابتدا از طریق زیرساخت فناوری اطلاعات هدف قرار می گیرند، قبل از اینکه عامل تهدید به زیرساخت منتقل شود. مطمئناً تاکتیک‌هایی که می‌بینیم آن‌ها به کار می‌گیرند از دیدگاه زیرساخت‌های حیاتی نگران‌کننده است.»

اتریج می گوید برای مقابله با تهدید ولت تایفون، یک نکته مهم مدیریت هویت است.

«هویت یک چالش بزرگ برای بسیاری از سازمان‌ها است. ما شاهد افزایش بسیار زیادی در تبلیغات برای اعتبارنامه‌های سرقت شده بوده‌ایم، و اعتبارنامه‌های سرقت شده به‌طور گسترده در حوادثی که هر روز به آنها پاسخ می‌دهیم، استفاده می‌شوند.» در این مورد، توانایی استفاده از اعتبارنامه‌های دزدیده شده کلیدی برای ماندن ولت تایفون برای چندین ماه در زیر رادار بود.

اتریج همچنین بر اهمیت شکار تهدید و واکنش به حادثه تأکید می کند. به گفته او، متوقف کردن کامل بازیگران تهدید دولت-ملت غیرممکن است، اما سازمان‌ها برای کاهش بدترین پیامدهای ممکن آمادگی بهتری خواهند داشت، اگر بتوانند «درک کنند که چه زمانی چیزی در محیط شما در حال وقوع است و قادر به مقابله با آن باشند. اقدام اصلاحی سریع.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud/china-volt-typhoon-apt-zoho-manageengine-fresh-cyberattacks