Группа APT (продвинутая постоянная угроза) из Китая под кодовым названием Flax Typhoon более года сохраняла доступ к корпоративным сетям через уникальную атаку на программное обеспечение ArcGIS, заставив вендора переписать документацию по безопасности. Вместо использования традиционных вредоносных инструментов злоумышленники превратили легитимный Java-компонент в скрытую веб-оболочку, создав бэкдор, который переживал даже полное восстановление системы из резервных копий.
Описание
Атака началась с компрометации учетной записи администратора портала ArcGIS. Злоумышленники модифицировали Server Object Extension (SOE) - стандартное расширение сервера - превратив его в функциональную веб-оболочку. Для управления доступом использовался жестко заданный ключ, что обеспечивало эксклюзивный контроль. Наиболее изощренной частью атаки стало внедрение модифицированного компонента в системные резервные копии, что гарантировало восстановление доступа даже после полной переустановки системы.
Через созданную веб-оболочку злоумышленники выполняли команды, закодированные в base64, включая создание скрытых директорий и сканирование внутренней сети. Обнаружив, что скомпрометированная учетная запись имеет права локального администратора, они развернули переименованный исполняемый файл VPN-клиента SoftEther в системной директории Windows и создали автоматически запускаемую службу. Это обеспечивало постоянное подключение к контролируемому злоумышленниками серверу, создавая VPN-мост между внутренней сетью жертвы и инфраструктурой хакеров.
Атрибуция атаки к группе Flax Typhoon основана на нескольких факторах. Группа известна использованием SoftEther VPN для создания туннелей, ориентацией на критическую инфраструктуру и способностью сохранять доступ к сетям жертв более 12 месяцев. Активность злоумышленников соответствовала китайскому рабочему времени, а методы работы совпадали с ранее задокументированными операциями этой APT-группы.
Особую тревогу вызывает использование системы резервного копирования как инструмента персистентности. Традиционно рассматриваемые как средство восстановления, резервные копии в этой атаке стали механизмом гарантированного повторного заражения. Это кардинально меняет подход к инцидент-ответу, требуя проверки резервных копий на наличие скрытых угроз перед восстановлением.
ArcGIS, будучи географической информационной системой, используется для управления пространственными данными в критических отраслях - от городского планирования до управления чрезвычайными ситуациями. Компрометация такой системы предоставляет доступ к чувствительным данным об инфраструктуре и открывает пути для перемещения в смежные корпоративные и операционные сети.
Обнаружение атаки стало возможным благодаря анализу аномального поведения легитимных компонентов. Вендор подтвердил, что это первый задокументированный случай использования SOE в качестве веб-оболочки. Расследование показало, что пароль администратора ArcGIS был слабым и, вероятно, скомпрометированным.
Тенденция использования легитимного программного обеспечения для атак продолжает набирать обороты. Группы APT все чаще избегают традиционных вредоносных программ в пользу модификации существующих системных компонентов. Это требует от организаций проактивного поиска аномалий в поведении доверенного программного обеспечения и реализации многоуровневой защиты, способной обнаруживать угрозы, скрывающиеся на виду.
Индикаторы компрометации
IPv4
- 172.86.117.230
SHA256
- 4f9d9a6cba88832fcb7cfb845472b63ff15cb9b417f4f02cb8086552c19ceffc
- 8282c5a177790422769b58b60704957286edb63a53a49a8f95cfa1accf53c861
- 84959fe39d655a9426b58b4d8c5ec1e038af932461ca85916d7adeed299de1b3
- cec625f70d2816c85b1c6b3b449e4a84a5da432b75a99e9efa9acd6b9870b336
