Китайские государственные хакеры оставались незамеченными в целевой среде более года, превратив компонент инструмента геокартографирования ArcGIS в веб-оболочку.
Географическая информационная система (ГИС) ArcGIS разработана компанией Esri (Институт исследований экологических систем) и поддерживает расширения серверных объектов (SOE), которые могут расширить базовую функциональность.
Программное обеспечение используется муниципалитетами, коммунальными предприятиями и операторами инфраструктуры для сбора, анализа, визуализации и управления пространственными и географическими данными с помощью карт.
Исследователи компании ReliaQuest, занимающейся кибербезопасностью, уверены, что источником угрозы является китайская APT-группа, и имеют умеренную уверенность в том, что это Flax Typhoon.
В отчете, предоставленном BleepingComputer, говорится, что хакеры использовали действительные учетные данные администратора для входа на общедоступный сервер ArcGIS, связанный с частным внутренним сервером ArcGIS.
Злоумышленник использовал свой доступ для загрузки вредоносного Java SOE, действующего как веб-оболочка, которая принимала команды в кодировке base64 через параметр (слой) REST API и выполняла их на внутреннем сервере ArcGIS, где они отображались как обычные операции.
Биржа была защищена жестко запрограммированным секретным ключом, гарантируя, что доступ к этой лазейке имели только злоумышленники.
Источник: ReliaQuest
От ArcGIS до SoftEther VPN
Чтобы обеспечить устойчивость и расширить свои возможности за пределы портала ArcGIS, Flax Typhoon использовал вредоносный SOE для загрузки и установки SoftEther VPN Bridge и зарегистрировал его как службу Windows, которая запускалась автоматически при загрузке системы.
После запуска он устанавливает исходящий HTTPS-туннель к серверу злоумышленника по адресу 172.86.113[.]142, соединяя внутреннюю сеть жертвы с машиной злоумышленника.
VPN использовал обычный HTTPS-трафик через порт 443, смешиваясь с легитимным трафиком, и даже если SOE был обнаружен и удален, служба VPN все равно была бы активна.
Используя VPN-соединение, злоумышленник может сканировать локальную сеть, перемещаться по ней, получать доступ к внутренним хостам, сбрасывать учетные данные или извлекать данные, не полагаясь на веб-оболочку для этой деятельности.
Компания ReliaQuest подозрительные действия, направленные на две рабочие станции, принадлежащие ИТ-персоналу целевой организации, поскольку хакер пытался слить базу данных диспетчера учетных записей безопасности (SAM), ключи реестра безопасности и секреты LSA.
«Это были явные попытки «нажать на клавиатуру» повысить свои привилегии и получить полномочия, необходимые для укрепления своего влияния в сети», — говорят исследователи.
«Особенно примечательным наблюдением стала запись файла "pass.txt.lnk" на диск и последующий доступ к нему, что позволяет предположить активный сбор учетных данных, который, вероятно, будет распространяться по среде Active Directory (AD) и скомпрометирует дополнительные системы» —
применяет тактику уклонения от ответственности, например, Flax Typhoon, известный своими атаками на правительственные организации, критически важную инфраструктуру и ИТ-организации, уже некоторое время
Эта группа угроз известна шпионскими кампаниями по обеспечению долгосрочного скрытого доступа с помощью легального программного обеспечения.
Flax Typhoon с огромной бот-сетью «Raptor Train», которая поразила США, а в начале этого года Управление по контролю за иностранными активами Министерства финансов США (OFAC) компании, которые поддерживали спонсируемых государством хакеров.
Ersi подтвердила, что это первый случай использования SOE подобным образом. Разработчик заявил, что обновит документацию, чтобы предупредить пользователей о риске вредоносных SOE.
