Los actores de amenazas con vínculos con China han sido atribuidos a una novedosa campaña que comprometió una ArcGIS sistema y lo convirtió en una puerta trasera durante más de un año.
La actividad, según ReliaQuest, es obra de un grupo de piratería patrocinado por el estado chino llamado Tifón de linoque también se rastrea como Ethereal Panda y RedJuliett. Según el gobierno de Estados Unidos, es juzgado ser una empresa con sede en Beijing que cotiza en bolsa y conocida como Integrity Technology Group.
«El grupo modificó inteligentemente la extensión de objetos del servidor Java (SOE) de una aplicación de mapas geográficos para convertirla en un shell web funcional», dijo la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News. «Al bloquear el acceso con una clave codificada para un control exclusivo e incorporarla en las copias de seguridad del sistema, lograron una persistencia profunda y a largo plazo que podría sobrevivir a una recuperación completa del sistema».
Flax Typhoon es conocido por estar a la altura del «sigilo» en su oficio al incorporar ampliamente métodos de vida de la tierra (LotL) y actividad práctica del teclado, convirtiendo así los componentes de software en vehículos para ataques maliciosos, al tiempo que evade la detección.
El ataque demuestra cómo los atacantes abusan cada vez más de herramientas y servicios confiables para eludir las medidas de seguridad y obtener acceso no autorizado a los sistemas de las víctimas, al mismo tiempo que se mezclan con el tráfico normal del servidor.
La «cadena de ataque inusualmente inteligente» involucró a los actores de amenazas apuntando a un servidor ArcGIS público al comprometer una cuenta de administrador del portal para implementar un SOE malicioso.
«Los atacantes activaron el SOE malicioso utilizando un estándar [JavaSimpleRESTSOE] Extensión de ArcGIS, que invoca una operación REST para ejecutar comandos en el servidor interno a través del portal público, lo que hace que su actividad sea difícil de detectar», dijo ReliaQuest. «Al agregar una clave codificada, Flax Typhoon evitó que otros atacantes, o incluso administradores curiosos, alteraran su acceso».
Se dice que el «web shell» se utilizó para ejecutar operaciones de descubrimiento de red, establecer persistencia cargando un ejecutable SoftEther VPN renombrado («bridge.exe») en la carpeta «System32» y luego creando un servicio llamado «SysBridge» para iniciar automáticamente el binario cada vez que se reinicia el servidor.
Se ha descubierto que el proceso «bridge.exe» establece conexiones HTTPS salientes a una dirección IP controlada por un atacante en el puerto 443 con el objetivo principal de configurar un canal VPN encubierto hacia el servidor externo.
«Este puente VPN permite a los atacantes extender la red local del objetivo a una ubicación remota, haciendo que parezca como si el atacante fuera parte de la red interna», explicaron los investigadores Alexa Feminella y James Xiang. «Esto les permitió eludir el monitoreo a nivel de red, actuando como una puerta trasera que les permite realizar movimientos laterales adicionales y exfiltración».
Se dice que los actores de la amenaza se dirigieron específicamente a dos estaciones de trabajo pertenecientes al personal de TI para obtener credenciales y profundizar en la red. Una investigación más profunda descubrió que el adversario tenía acceso a la cuenta administrativa y pudo restablecer la contraseña.
«Este ataque resalta no sólo la creatividad y la sofisticación de los atacantes, sino también el peligro de que la funcionalidad confiable del sistema sea utilizada como arma para evadir la detección tradicional», señalaron los investigadores. «No se trata sólo de detectar actividad maliciosa; se trata de reconocer cómo las herramientas y procesos legítimos pueden ser manipulados y vueltos en su contra».
Fuente