A los actores de amenazas con vínculos con China se les ha atribuido una novedosa campaña que comprometió un sistema ArcGIS y lo convirtió en una puerta trasera durante más de un año.
La actividad, según ReliaQuest, es obra de un congregación de piratería patrocinado por el estado chino llamado Tifón de hiloque incluso se rastrea como Ethereal Panda y RedJuliett. Según el gobierno de EE. UU., se considera una empresa con sede en Beijing que cotiza en bolsa y conocida como Integrity Technology Group.
“El congregación modificó hábilmente la extensión de objetos del servidor Java (SOE) de una aplicación de mapas geográficos para convertirla en un shell web utilitario”, dijo la compañía de ciberseguridad en un documentación compartido con The Hacker News. “Al aislar el paso con una esencia codificada para un control exclusivo e incorporarla en las copias de seguridad del sistema, lograron una persistencia profunda y a desprendido plazo que podría sobrevivir a una recuperación completa del sistema”.
Flax Typhoon es conocido por estar a la cima del “sigilo” en su oficio al incorporar ampliamente métodos de vida de la tierra (LotL) y actividad destreza del teclado, convirtiendo así los componentes de software en vehículos para ataques maliciosos, al tiempo que evade la detección.
El ataque demuestra cómo los atacantes abusan cada vez más de herramientas y servicios confiables para eludir las medidas de seguridad y obtener paso no competente a los sistemas de las víctimas, al mismo tiempo que se mezclan con el tráfico corriente del servidor.
La “cautiverio de ataque inusualmente inteligente” involucró a los actores de amenazas apuntando a un servidor ArcGIS notorio al comprometer una cuenta de administrador del portal para implementar un SOE desconfiado.
“Los atacantes activaron el SOE desconfiado usando una extensión ArcGIS en serie (JavaSimpleRESTSOE), invocando una operación REST para ejecutar comandos en el servidor interno a través del portal notorio, lo que dificulta detectar su actividad”, dijo ReliaQuest. “Al pegar una esencia codificada, Flax Typhoon evitó que otros atacantes, o incluso administradores curiosos, alteraran su paso”.
Se dice que el “web shell” se utilizó para ejecutar operaciones de descubrimiento de red, establecer persistencia cargando un ejecutable SoftEther VPN renombrado (“bridge.exe”) en la carpeta “System32” y luego creando un servicio llamado “SysBridge” para iniciar automáticamente el binario cada vez que se reinicia el servidor.
Se ha descubierto que el proceso “bridge.exe” establece conexiones HTTPS salientes a una dirección IP controlada por un atacante en el puerto 443 con el objetivo principal de configurar un canal VPN encubierto alrededor de el servidor extranjero.
“Este puente VPN permite a los atacantes extender la red específico del objetivo a una ubicación remota, haciendo que parezca como si el atacante fuera parte de la red interna”, explicaron los investigadores Alexa Feminella y James Xiang. “Esto les permitió eludir el monitoreo a nivel de red, actuando como una puerta trasera que les permite realizar movimientos laterales adicionales y exfiltración”.
Se dice que los actores de la amenaza se dirigieron específicamente a dos estaciones de trabajo pertenecientes al personal de TI para obtener credenciales y profundizar en la red. Una investigación más profunda descubrió que el adversario tenía paso a la cuenta administrativa y pudo restablecer la contraseña.
“Este ataque resalta no sólo la creatividad y la sofisticación de los atacantes, sino incluso el peligro de que la funcionalidad confiable del sistema sea utilizada como armas para evitar la detección tradicional”, señalaron los investigadores. “No se manejo sólo de detectar actividad maliciosa; se manejo de investigar cómo las herramientas y procesos legítimos pueden ser manipulados y vueltos en su contra”.
