Китайская группа WARP PANDA тайно проникает в корпоративные облака США через уязвимости в VMware

Основной целью WARP PANDA, по оценкам экспертов, является сбор разведывательных данных в интересах Китая. Группа фокусируется на обеспечении скрытного и долгосрочного доступа к скомпрометированным сетям. В одном из случаев первоначальное проникновение было осуществлено еще в конце 2023 года, что подчеркивает стратегию на терпеливое и незаметное присутствие.

Для атак злоумышленники используют целый арсенал вредоносного программного обеспечения. Ключевым инструментом является бэкдор BRICKSTORM, написанный на Go и маскирующийся под легитимные процессы vCenter, такие как updatemgr. Этот имплант обладает возможностями туннелирования трафика и управления файлами. Более того, он использует сложные методы для скрытия коммуникаций с командным центром, включая DNS-over-HTTPS и вложенные TLS-каналы, а также инфраструктуру публичных облачных сервисов.

Помимо BRICKSTORM, группа применяет два ранее не встречавшихся импланта для сред VMware ESXi. Имплант Junction, также написанный на Go, действует на гипервизорах ESXi, маскируясь под службу VMware и предоставляя возможности выполнения команд и проксирования трафика. Второй имплант, GuestConduit, работает внутри гостевых виртуальных машин и создает туннель для связи с гипервизором через VSOCK, что позволяет скрытно передавать данные.

Группа демонстрирует высокий уровень скрытности. В своей работе WARP PANDA активно применяет техники очистки логов, манипуляции временными метками файлов и создает скрытые виртуальные машины, не регистрируемые в vCenter. Для первоначального доступа злоумышленники часто эксплуатируют уязвимости в периметровых устройствах, таких как VPN-шлюзы Ivanti и F5 BIG-IP, а затем переходят к атаке на системы vCenter, используя, например, уязвимости в реализации протокола DCERPC.

После закрепления в сети деятельность группы сосредоточена на поиске и извлечении данных. Злоумышленники используют утилиты вроде 7-Zip для извлечения информации из снимков виртуальных машин и даже клонируют виртуальные машины контроллеров домена, чтобы получить доступ к критически важным данным, таким как база данных Active Directory. В облачных средах, в частности Microsoft Azure, группа получала доступ к данным OneDrive, SharePoint и Exchange, а в некоторых случаях регистрировала новые устройства для многофакторной аутентификации, чтобы сохранить доступ к учетным записям.

Активность WARP PANDA указывает на хорошо организованную и финансируемую операцию. Группа обладает значительными техническими возможностями и, вероятно, будет продолжать свои разведывательные миссии в долгосрочной перспективе. Эксперты CrowdStrike подчеркивают, что защита от подобных угроз требует комплексного подхода. Ключевые меры включают мониторинг создания несанкционированных виртуальных машин, отключение доступа по SSH к хостам ESXi где это возможно, строгое сегментирование сети, обязательное использование многофакторной аутентификации для доступа к vCenter и своевременную установку обновлений безопасности для всей инфраструктуры vSphere.

IPv4

• 149.28.120.31
• 208.83.233.14

SHA256

• 40992f53effc60f5e7edea632c48736ded9a2ca59fb4924eb6af0a078b74d557
• 40db68331cb52dd3ffa0698144d1e6919779ff432e2e80c058e41f7b93cec042
• 88db1d63dbd18469136bf9980858eb5fc0d4e41902bf3e4a8e08d7b6896654ed
• 9a0e1b7a5f7793a8a5a62748b7aa4786d35fc38de607fb3bb8583ea2f7974806