Bedreigingsactoren met banden met China worden toegeschreven aan een nieuwe campagne die een ArcGIS-systeem in gevaar bracht en er meer dan een jaar lang een achterdeur van maakte.
De activiteit is volgens ReliaQuest het werk van een door de Chinese staat gesponsorde hackgroep genaamd Vlastyfoondie ook wordt gevolgd als Ethereal Panda en RedJuliett. Volgens de Amerikaanse regering wordt het beschouwd als een beursgenoteerd, in Peking gevestigd bedrijf, bekend als Integrity Technology Group.
“De groep heeft op slimme wijze de Java Server Object Extension (SOE) van een geo-mapping-applicatie aangepast tot een functionerende webshell”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News. “Door de toegang af te sluiten met een hardgecodeerde sleutel voor exclusieve controle en deze in te bedden in systeemback-ups, bereikten ze een diepgaande persistentie op de lange termijn die een volledig systeemherstel zou kunnen overleven.”
Flax Typhoon staat erom bekend de ‘stealth’ in zijn vak waar te maken door op uitgebreide schaal ‘living-off-the-land’ (LotL)-methoden en praktische toetsenbordactiviteit te integreren, waardoor softwarecomponenten worden omgezet in voertuigen voor kwaadaardige aanvallen, terwijl tegelijkertijd detectie wordt omzeild.
De aanval laat zien hoe aanvallers steeds vaker vertrouwde tools en diensten misbruiken om beveiligingsmaatregelen te omzeilen en ongeautoriseerde toegang te krijgen tot de systemen van slachtoffers, terwijl ze tegelijkertijd opgaan in het normale serververkeer.
Bij de “ongebruikelijk slimme aanvalsketen” waren de bedreigingsactoren betrokken die zich richtten op een openbare ArcGIS-server door een portalbeheerdersaccount te compromitteren om een kwaadaardige SOE te implementeren.
“De aanvallers activeerden de kwaadaardige SOE met behulp van een standaard (JavaSimpleRESTSOE) ArcGIS-extensie, waarbij ze een REST-operatie aanroepen om opdrachten uit te voeren op de interne server via de openbare portal, waardoor hun activiteit moeilijk te herkennen is”, aldus ReliaQuest. “Door een hardgecodeerde sleutel toe te voegen, voorkwam Flax Typhoon dat andere aanvallers, of zelfs nieuwsgierige beheerders, met de toegang konden knoeien.”
Er wordt gezegd dat de “webshell” is gebruikt om netwerkdetectiebewerkingen uit te voeren, persistentie tot stand te brengen door een hernoemd SoftEther VPN-uitvoerbaar bestand (“bridge.exe”) naar de map “System32” te uploaden en vervolgens een service met de naam “SysBridge” te creëren om automatisch het binaire bestand te starten elke keer dat de server opnieuw wordt opgestart.
Het proces “bridge.exe” blijkt uitgaande HTTPS-verbindingen tot stand te brengen met een door de aanvaller gecontroleerd IP-adres op poort 443 met als primair doel het opzetten van een geheim VPN-kanaal naar de externe server.
“Met deze VPN-brug kunnen aanvallers het lokale netwerk van het doelwit uitbreiden naar een externe locatie, waardoor het lijkt alsof de aanvaller deel uitmaakt van het interne netwerk”, leggen onderzoekers Alexa Feminella en James Xiang uit. “Hierdoor konden ze monitoring op netwerkniveau omzeilen en fungeerden ze als een achterdeur waardoor ze extra zijwaartse bewegingen en exfiltratie konden uitvoeren.”
De bedreigingsactoren zouden zich specifiek hebben gericht op twee werkstations van IT-personeel om inloggegevens te verkrijgen en zich verder in het netwerk te verdiepen. Uit verder onderzoek is gebleken dat de tegenstander toegang had tot het beheerdersaccount en het wachtwoord kon resetten.
“Deze aanval benadrukt niet alleen de creativiteit en verfijning van aanvallers, maar ook het gevaar dat vertrouwde systeemfunctionaliteit als wapen wordt ingezet om traditionele detectie te omzeilen”, aldus de onderzoekers. “Het gaat niet alleen om het opsporen van kwaadaardige activiteiten; het gaat om het herkennen van hoe legitieme tools en processen kunnen worden gemanipuleerd en tegen u kunnen worden gekeerd.”
