Китайская государственная хакерская группировка, известная как Flax Typhoon, а также под псевдонимами Ethereal Panda и RedJuliett, успешно провела сложную кибератаку, оставаясь незамеченной в скомпрометированной сети более года. По данным правительства США, эта группа связана с пекинской публичной компанией Integrity Technology Group. Злоумышленники известны своими скрытными методами и активным использованием легитимных инструментов жертвы для маскировки своей деятельности, что известно как тактика "Living-off-the-Land" (LotL).
Объектом атаки стал общедоступный сервер с приложением для геокартографирования ArcGIS Server. Получив первоначальный доступ через скомпрометированную учетную запись администратора портала, хакеры модифицировали легитимный компонент приложения — расширение серверного объекта Java (SOE) — превратив его в веб-шелл. Этот бэкдор позволял им удаленно выполнять команды в системе.
Для активации вредоносного кода использовалось стандартное расширение ArcGIS под названием [JavaSimpleRESTSOE]. Команды на внутренний сервер отправлялись через общедоступный портал с помощью REST-операций, что делало вредоносный трафик неотличимым от обычного функционирования приложения. Для обеспечения эксклюзивного контроля над веб-шеллом злоумышленники защитили его жестко закодированным ключом.
Чтобы обеспечить сверхнадежную персистентность, группа Flax Typhoon внедрила свой вредоносный код непосредственно в системные резервные копии. Такой подход гарантировал, что бэкдор сохранится и будет восстановлен даже в случае полного восстановления сервера из бэкапа. Это демонстрирует высокий уровень предусмотрительности и технической подготовки атакующих.
В качестве второго механизма закрепления в системе хакеры загрузили в папку
Процесс
С помощью созданного плацдарма группа Flax Typhoon начала разведку внутри сети. Их основной целью стали две рабочие станции, принадлежавшие сотрудникам ИТ-отдела. Атакующие намеревались получить учетные данные для дальнейшего продвижения по сети. Расследование подтвердило, что им удалось получить доступ к учетной записи администратора и сбросить ее пароль.
Данные об этой атаке были предоставлены охранной фирмой ReliaQuest, а конкретные детали были изложены исследователями Алексой Феминеллой и Джеймсом Сяном в отчете, которым они поделились с изданием The Hacker News. Этот инцидент подчеркивает растущую угрозу атак, в которых злоумышленники манипулируют доверенными системными функциями для обхода традиционных средств обнаружения.
Объектом атаки стал общедоступный сервер с приложением для геокартографирования ArcGIS Server. Получив первоначальный доступ через скомпрометированную учетную запись администратора портала, хакеры модифицировали легитимный компонент приложения — расширение серверного объекта Java (SOE) — превратив его в веб-шелл. Этот бэкдор позволял им удаленно выполнять команды в системе.
Для активации вредоносного кода использовалось стандартное расширение ArcGIS под названием [JavaSimpleRESTSOE]. Команды на внутренний сервер отправлялись через общедоступный портал с помощью REST-операций, что делало вредоносный трафик неотличимым от обычного функционирования приложения. Для обеспечения эксклюзивного контроля над веб-шеллом злоумышленники защитили его жестко закодированным ключом.
Чтобы обеспечить сверхнадежную персистентность, группа Flax Typhoon внедрила свой вредоносный код непосредственно в системные резервные копии. Такой подход гарантировал, что бэкдор сохранится и будет восстановлен даже в случае полного восстановления сервера из бэкапа. Это демонстрирует высокий уровень предусмотрительности и технической подготовки атакующих.
В качестве второго механизма закрепления в системе хакеры загрузили в папку
C:\Windows\System32 переименованный исполняемый файл VPN-клиента SoftEther. Файлу было присвоено имя bridge.exe, чтобы он не вызывал подозрений. Для его автоматического запуска при каждой перезагрузке сервера была создана новая служба Windows с названием "SysBridge". Процесс
bridge.exe устанавливал исходящее HTTPS-соединение на порт 443 с IP-адресом, контролируемым злоумышленниками. Таким образом создавался скрытый VPN-туннель, который фактически расширял локальную сеть жертвы до удаленного сервера хакеров. Этот метод позволил им обойти сетевые средства мониторинга и файрволы, действуя так, будто они находятся внутри периметра защиты. С помощью созданного плацдарма группа Flax Typhoon начала разведку внутри сети. Их основной целью стали две рабочие станции, принадлежавшие сотрудникам ИТ-отдела. Атакующие намеревались получить учетные данные для дальнейшего продвижения по сети. Расследование подтвердило, что им удалось получить доступ к учетной записи администратора и сбросить ее пароль.
Данные об этой атаке были предоставлены охранной фирмой ReliaQuest, а конкретные детали были изложены исследователями Алексой Феминеллой и Джеймсом Сяном в отчете, которым они поделились с изданием The Hacker News. Этот инцидент подчеркивает растущую угрозу атак, в которых злоумышленники манипулируют доверенными системными функциями для обхода традиционных средств обнаружения.
