Cyberthreat.id – Peretas dari negeri Cina yang baru ditemukan, Volt Typhoon, diamati aktif di alam liar setidaknya sejak pertengahan 2020, dengan kru peretas yang terkait dengan kerajinan tangan yang belum pernah terlihat sebelumnya untuk mempertahankan akses jarak jauh ke target yang diminati.

The Hacker News menyebutkan temuan tersebut berasal dari CrowdStrike, yang melacak musuh dengan nama Vanguard Panda. "Peretas secara konsisten menggunakan eksploitasi ManageEngine Self-service Plus untuk mendapatkan akses awal, diikuti oleh web shell kustom untuk akses yang persisten, dan teknik living-off-the-land (LotL) untuk pergerakan lateral," kata perusahaan keamanan siber tersebut.

Disebutkan Volt Typhoon, juga dikenal sebagai Bronze Silhouette, adalah grup spionase dunia maya dari Tiongkok yang dikaitkan dengan operasi intrusi jaringan terhadap pemerintah AS, pertahanan, dan organisasi infrastruktur penting lainnya.

Analisis modus operandi grup telah mengungkapkan penekanannya pada keamanan operasional, dengan hati-hati menggunakan seperangkat alat open-source yang ekstensif terhadap sejumlah korban untuk melakukan tindakan jahat jangka panjang.

Lebih lanjut digambarkan sebagai kelompok ancaman yang "menyukai cangkang web untuk kegigihan dan bergantung pada ledakan aktivitas singkat yang terutama melibatkan binari hidup-dari-darat untuk mencapai tujuannya."

Dalam satu insiden gagal yang menargetkan pelanggan yang tidak ditentukan, aktor tersebut menargetkan layanan Zoho ManageEngine ADSelfService Plus yang berjalan di server Apache Tomcat untuk memicu eksekusi perintah mencurigakan yang berkaitan dengan pencacahan proses dan konektivitas jaringan, antara lain.

"Tindakan Vanguard Panda menunjukkan keakraban dengan lingkungan target, karena suksesi perintah mereka yang cepat, serta memiliki nama host dan IP internal khusus untuk di-ping, berbagi jarak jauh untuk dipasang, dan kredensial teks biasa untuk digunakan untuk WMI," kata CrowdStrike sebagaimana dikutip The Hacker News.

Pemeriksaan yang lebih dekat terhadap log akses Tomcat menemukan beberapa permintaan HTTP POST ke /html/promotion/selfsdp.jspx, sebuah shell web yang disamarkan sebagai solusi keamanan identitas yang sah untuk menghindari deteksi.

Shell web diyakini telah digunakan hampir enam bulan sebelum aktivitas hands-on-keyboard yang disebutkan di atas, yang menunjukkan pengintaian sebelumnya yang ekstensif dari jaringan target.

Meskipun tidak segera jelas bagaimana Vanguard Panda berhasil menembus lingkungan ManageEngine, semua tanda mengarah pada eksploitasi CVE-2021-40539, cacat bypass otentikasi kritis dengan eksekusi kode jarak jauh yang dihasilkan.

Diduga pelaku ancaman menghapus artefak dan merusak log akses untuk mengaburkan jejak forensik. Namun, dalam kesalahan langkah yang mencolok, proses tersebut gagal memperhitungkan sumber Java dan mengkompilasi file kelas yang dihasilkan selama serangan, yang menyebabkan ditemukannya lebih banyak web shell dan backdoor.

Ini termasuk file JSP yang kemungkinan diambil dari server eksternal dan yang dirancang untuk backdoor "Tomcat-websocket.jar" dengan memanfaatkan file JAR tambahan yang disebut "Tomcat-ant.jar" yang juga diambil dari jarak jauh melalui web shell, setelah itu tindakan pembersihan dilakukan untuk menutupi jejak.

Versi trojan dari tomcat-websocket.jar dilengkapi dengan tiga kelas Java baru – bernama A, B, dan C – dengan A.class berfungsi sebagai shell web lain yang mampu menerima dan menjalankan perintah yang disandikan Base64 dan dienkripsi AES.

"Penggunaan perpustakaan Apache Tomcat backdoor adalah TTP persistensi yang sebelumnya dirahasiakan yang digunakan oleh Vanguard Panda," kata CrowdStrike, mencatat dengan keyakinan moderat bahwa implan digunakan untuk "memungkinkan akses persisten ke target bernilai tinggi yang dipilih setelah fase akses awal operasi menggunakan kerentanan zero-day."[]