La comunidad de ciberseguridad ha sido testigo de un reciente avance del grupo de APT llamado VANGUARD PANDA, conocido como Volt Typhoon, vinculado a China.
Este grupo ha sido identificado en una serie de incidentes relacionados con ciberataques en el pasado, y su última actividad apunta a la observación de nuevas naves comerciales con el objetivo de obtener acceso inicial a las redes de sus objetivos.
VANGUARD PANDA ha demostrado una capacidad constante para adaptarse y evolucionar en sus tácticas, técnicas y procedimientos (TTP).
Su enfoque principal es el espionaje cibernético, buscando obtener información valiosa para beneficio propio o para facilitar acciones posteriores. En este caso, la atención se ha centrado en las naves comerciales, que se han convertido en un objetivo atractivo debido a su importancia estratégica y la abundancia de datos sensibles que manejan.
El modus operandi de VANGUARD PANDA implica la identificación de las naves comerciales de alto valor como un punto de entrada potencial. Estas naves a menudo son portadoras de información crítica, como detalles de transacciones financieras, datos de clientes y comunicaciones internas.
Aprovechando vulnerabilidades conocidas o ingeniería social, el grupo busca obtener acceso inicial a las redes de las compañías que operan estas naves.
Una vez dentro de la red, VANGUARD PANDA busca expandir su presencia lateralmente, moviéndose de forma sigilosa y persistente para obtener el acceso a datos confidenciales y comprometer aún más la infraestructura de la organización objetivo.
Sus esfuerzos van acompañados de una cuidadosa planificación y una considerable experiencia en técnicas de evasión y ocultación, lo que les permite permanecer indetectables durante largos períodos de tiempo.
Para mitigar la amenaza planteada por VANGUARD PANDA y otros grupos APT, es esencial que las organizaciones refuercen sus medidas de seguridad cibernética.
Esto incluye la aplicación de parches de seguridad regularmente, el fortalecimiento de las configuraciones de red y la adopción de prácticas de seguridad sólidas, como la autenticación de múltiples factores y el monitoreo constante de las actividades de la red.
Además, es fundamental que las empresas estén al tanto de las tácticas utilizadas por estos grupos APT y realicen evaluaciones de riesgos para identificar y abordar posibles vulnerabilidades.
La concientización y la capacitación en seguridad cibernética para los empleados también son aspectos críticos, ya que la ingeniería social sigue siendo un vector de ataque efectivo para los ciberdelincuentes.
A medida que VANGUARD PANDA continúa evolucionando y ampliando su alcance, la colaboración entre la comunidad de seguridad, los organismos de aplicación de la ley y los gobiernos se vuelve aún más crucial.
Solo a través de una respuesta coordinada y una compartición efectiva de inteligencia, podemos enfrentar de manera efectiva las amenazas
La vulnerabilidad reside en las URL de la API REST en ADSelfService Plus y podría conducir a la ejecución remota de código (RCE)
La ausencia de artefactos que demuestren la explotación del problema anterior en el ataque analizado por Crowdstrike demuestra que los atacantes han intentado cubrir sus huellas.
Los piratas informáticos de VANGUARD PANDA no pudieron borrar la fuente de Java generada o los archivos de clase compilados que revelaron numerosos webshells y backdoors empleados en el mismo ataque.
Los investigadores de seguridad cibernética de CrowdStrike han descubierto que el grupo de actores maliciosos avanzados (APT) conocido como VANGUARD PANDA, o también referido como Volt Typhoon, vinculado a China, ha adoptado una nueva táctica comercial para lograr acceso inicial a las redes de sus objetivos.
Esta revelación ha generado preocupación en la comunidad de seguridad debido al historial y la sofisticación del grupo en sus operaciones cibernéticas.
VANGUARD PANDA ha sido una entidad activa desde mediados de 2021, llevando a cabo diversas campañas de ciberataques dirigidas a infraestructuras críticas.
Sin embargo, en su campaña más reciente, el grupo ha ampliado su alcance y ha puesto el foco en organizaciones pertenecientes a los sectores de comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación.
La técnica utilizada por VANGUARD PANDA implica una serie de tácticas diseñadas para obtener acceso inicial a las redes objetivo.
El grupo ha demostrado una notable capacidad para adaptarse a medida que evoluciona el panorama de la seguridad cibernética, y esta nueva táctica comercial es una prueba más de su agilidad y determinación.
Las organizaciones que operan en los sectores mencionados deben estar especialmente alerta y tomar medidas proactivas para fortalecer su postura de seguridad cibernética.
Es fundamental implementar medidas de seguridad robustas, como parches de software actualizados regularmente, configuraciones de red seguras y sistemas de detección y respuesta de última generación.
Además, la concientización y la capacitación en seguridad cibernética para los empleados son elementos cruciales para prevenir ataques exitosos.
VANGUARD PANDA ha demostrado habilidades significativas en la ingeniería social, por lo que es importante educar a los empleados sobre los riesgos asociados con el phishing, el spear-phishing y otros métodos utilizados para engañar a las personas y obtener acceso no autorizado a las redes.
Dada la sofisticación y el alcance de las operaciones de VANGUARD PANDA, es esencial que las organizaciones compartan información y colaboren estrechamente con los organismos de aplicación de la ley y los gobiernos.
La colaboración entre los sectores público y privado puede ayudar a identificar patrones, mitigar amenazas y fortalecer las defensas cibernéticas en general.
A medida que VANGUARD PANDA continúa evolucionando y adaptándose, es fundamental que las organizaciones permanezcan vigilantes y actualizadas sobre las tácticas y técnicas utilizadas por este grupo y otros actores maliciosos.
Solo a través de una respuesta concertada y un enfoque integral de la seguridad cibernética podremos proteger nuestras redes y datos de las amenazas persistentes y en constante evolución que enfrentamos hoy en día.
El grupo de actores maliciosos avanzados (APT) conocido como VANGUARD PANDA ha adoptado un enfoque altamente sofisticado para evadir la detección en sus operaciones cibernéticas, según un informe publicado por CrowdStrike, una destacada empresa de seguridad cibernética. El grupo ha demostrado una notable habilidad para eludir las defensas de seguridad convencionales al emplear casi exclusivamente técnicas de “vivir fuera de la tierra” y actividad práctica del teclado.
CrowdStrike ha identificado que VANGUARD PANDA ha utilizado exploits en el software ManageEngine Self-service Plus para obtener acceso inicial en sus ataques. Una vez dentro de la red objetivo, el grupo confía en webshells personalizados para mantener un acceso persistente y emplea técnicas de “living-off-the-land” (LOTL) para llevar a cabo movimientos laterales en la infraestructura comprometida.
En un caso específico bloqueado por la empresa de seguridad, el grupo APT se dirigió a un servicio específico llamado Zoho ManageEngine ADSelfService Plus que se ejecutaba en un servidor Apache Tomcat. La actividad maliciosa observada durante este ataque incluyó procesos de listado, pruebas de conectividad de red, recopilación de información de usuarios y grupos, montaje de recursos compartidos, enumeración de confianza de dominio a través de WMI (Windows Management Instrumentation) y listado de zonas DNS utilizando WMI.
El análisis de CrowdStrike revela que las acciones de VANGUARD PANDA demuestran una familiaridad considerable con el entorno de destino, evidenciada por la rápida sucesión de comandos ejecutados y el uso de direcciones IP y nombres de host internos específicos para realizar pruebas de conectividad, montar recursos compartidos remotos y utilizar credenciales de texto sin formato en conjunto con WMI.
Este nivel de sofisticación y conocimiento del entorno objetivo resalta la necesidad de una mayor atención a las prácticas de seguridad cibernética y la adopción de medidas de protección avanzadas por parte de las organizaciones.
La detección y prevención de ataques APT requiere una combinación de tecnologías de seguridad actualizadas, capacitación constante para los empleados y la implementación de mejores prácticas en la gestión de parches y configuraciones de red.
Además, la colaboración y el intercambio de información entre las organizaciones, los proveedores de seguridad y las autoridades pertinentes son vitales para contrarrestar las amenazas de los grupos APT como VANGUARD PANDA.
Solo a través de una respuesta coordinada y una comprensión continua de las tácticas empleadas por estos actores maliciosos podemos proteger de manera efectiva nuestras redes y salvaguardar los datos confidenciales de las organizaciones y los usuarios.
Según un análisis detallado de los registros de acceso de Apache Tomcat, los investigadores de CrowdStrike han descubierto que el grupo de amenazas avanzadas (APT) conocido como VANGUARD PANDA utilizó múltiples solicitudes HTTP POST a /html/promotion/selfsdp.jspx, que es un shell web utilizado por actores maliciosos.
El webshell en cuestión intentaba hacerse pasar por un archivo legítimo de ManageEngine ADSelfService Plus, estableciendo su título como “ManageEngine ADSelfService Plus” y agregando enlaces a software legítimo de mesa de ayuda empresarial. Este enfoque engañoso buscaba ocultar la presencia del webshell y dificultar su detección.
Según los investigadores, el grupo VANGUARD PANDA demostró un conocimiento profundo del entorno objetivo, lo que sugiere que llevaron a cabo extensas actividades de reconocimiento y enumeración previas.
CVE MITRE
Aunque no se encontraron artefactos de registro de acceso para la vulnerabilidad CVE-2021-40539, los investigadores señalaron que el sensor Falcon de CrowdStrike se instaló recientemente en el host objetivo.
Es importante destacar que en septiembre de 2021, Zoho lanzó un parche de seguridad para abordar una vulnerabilidad de omisión de autenticación, conocida como CVE-2021-40539, en su producto ManageEngine ADSelfService Plus.
La compañía también advirtió que esta vulnerabilidad había sido explotada en ataques reales.
Si bien no se encontraron evidencias específicas de la explotación de CVE-2021-40539 en este caso, su mención sugiere que los atacantes podrían haber obtenido o comprometido previamente credenciales de administrador para facilitar su acceso.
Esto subraya la importancia de mantener todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad para mitigar el riesgo de vulnerabilidades conocidas.
En respuesta a estos hallazgos, es crucial que las organizaciones apliquen parches de seguridad de manera oportuna, especialmente para los productos y sistemas ampliamente utilizados como ManageEngine ADSelfService Plus.
Además, se recomienda implementar soluciones de seguridad avanzadas, como sistemas de detección y respuesta de endpoints (EDR), que pueden ayudar a identificar y bloquear actividades sospechosas en tiempo real.
La colaboración entre los proveedores de seguridad, los investigadores y las organizaciones afectadas sigue siendo fundamental para enfrentar las amenazas de grupos APT como VANGUARD PANDA.
Al compartir información y trabajar juntos, podemos fortalecer nuestras defensas cibernéticas y mitigar los riesgos asociados con estas sofisticadas operaciones de ciberataque.
Investigación de CrowdStrike
Los investigadores de CrowdStrike han desvelado la cadena de ataque empleada por el grupo de amenazas avanzadas (APT) VANGUARD PANDA, revelando una combinación de tácticas y técnicas utilizadas para comprometer y mantener el acceso persistente en los objetivos seleccionados.
El análisis reveló que los atacantes utilizaron webshells para recuperar el archivo ListName.jsp de una fuente remota y lo colocaron en el directorio del servidor web. Además, utilizaron la misma técnica para obtener el archivo tomcat-ant.jar de una fuente remota y lo movieron a la ubicación C:/users/public/. Asimismo, utilizaron la webshell para copiar el archivo tomcat-websocket.jar del directorio de la biblioteca de Apache Tomcat a C:/users/public.
Posteriormente, llevaron a cabo una solicitud HTTP GET a ListName.jsp, lo que resultó en la transferencia de las clases A, B y C de tomcat-ant.jar a tomcat-websocket.jar. A través de la webshell, los atacantes reemplazaron entonces el archivo tomcat-websocket.jar en la biblioteca de Apache Tomcat con una versión de puerta trasera.
Como parte de la fase de limpieza, los atacantes eliminaron los archivos JAR de C:/users/public, borraron ListName.jsp del directorio del servidor web y eliminaron los registros de acceso de Apache Tomcat.
El informe de CrowdStrike destaca que el uso de una biblioteca de Apache Tomcat con una puerta trasera es una táctica, técnica y procedimiento (TTP) de persistencia previamente no revelada utilizada por VANGUARD PANDA. Se cree que esta puerta trasera permitió a los atacantes mantener un acceso persistente en los objetivos de alto valor seleccionados después de la fase de acceso inicial, posiblemente aprovechando vulnerabilidades de día cero.
Estos hallazgos subrayan la sofisticación y la naturaleza altamente dirigida de las operaciones de VANGUARD PANDA.
Para protegerse eficazmente contra ataques como los llevados a cabo por el grupo VANGUARD PANDA, es fundamental que las organizaciones implementen medidas de seguridad avanzadas. Aquí hay algunas recomendaciones clave:
Detección temprana de webshells:
Establezca soluciones de detección y prevención de webshells para identificar actividades sospechosas en sus sistemas. Estas soluciones pueden analizar el tráfico web, monitorear archivos y directorios en busca de cambios inesperados y realizar un seguimiento de las comunicaciones maliciosas.
Monitorización de actividades anómalas:
Implemente sistemas de monitorización y análisis de seguridad que puedan identificar comportamientos anómalos en tiempo real. Esto puede incluir la detección de patrones de acceso inusuales, el seguimiento de cambios en los archivos y directorios, y la supervisión de actividades de red sospechosas.
Aplicación regular de parches de seguridad:
Mantenga actualizados todos los sistemas, aplicaciones y bibliotecas utilizados en su entorno. Siga las recomendaciones del proveedor y aplique los parches de seguridad tan pronto como estén disponibles para cerrar posibles vulnerabilidades que podrían ser explotadas por los atacantes.
Fortalecimiento de la seguridad de Apache Tomcat:
Si utiliza Apache Tomcat como parte de su infraestructura, asegúrese de seguir las mejores prácticas de seguridad recomendadas por el proveedor. Esto puede incluir el uso de autenticación fuerte, la configuración adecuada de permisos y restricciones de acceso, y la implementación de firewalls y soluciones de seguridad específicas para Tomcat.
Concienciación y formación del personal:
Capacite a su personal en prácticas de seguridad cibernética sólidas, incluyendo la identificación de posibles amenazas, la detección de correos electrónicos de phishing y la adopción de medidas de seguridad adecuadas al utilizar aplicaciones y servicios en línea.
Respuesta y recuperación ante incidentes:
Establezca planes de respuesta ante incidentes claros y probados que permitan una acción rápida y coordinada en caso de una brecha de seguridad.
Esto incluye la identificación y el aislamiento de sistemas comprometidos, la recuperación de datos desde copias de seguridad confiables y el análisis post-incidente para aprender lecciones y mejorar las defensas.
Recuerde que la seguridad cibernética es un esfuerzo continuo y multifacético. Además de implementar medidas técnicas, también es crucial mantenerse informado sobre las últimas amenazas, colaborar con la comunidad de seguridad y seguir buenas prácticas de higiene cibernética en todos los niveles de la organización.
Además, se recomienda la implementación de soluciones de seguridad basadas en la detección y respuesta de endpoints (EDR) para identificar y mitigar las amenazas persistentes y sofisticadas.
La colaboración efectiva entre actores de seguridad, proveedores de servicios y autoridades competentes desempeña un papel fundamental en la lucha contra las amenazas cibernéticas, especialmente cuando se trata de grupos de amenazas avanzadas (APT) como VANGUARD PANDA.
Compartir información sobre amenazas es esencial para mantenerse actualizado sobre las tácticas, técnicas y procedimientos utilizados por estos grupos. Al intercambiar datos de inteligencia y hallazgos de investigación, se pueden identificar patrones comunes y tendencias emergentes, lo que permite a las organizaciones fortalecer sus defensas y estar mejor preparadas para mitigar los ataques.
Los proveedores de servicios desempeñan un papel clave al ofrecer soluciones de seguridad avanzadas y actualizadas. Al compartir información sobre las últimas amenazas y vulnerabilidades con sus clientes, pueden ayudar a prevenir ataques y proporcionar medidas de protección efectivas.
Además, la colaboración con las autoridades competentes, como agencias de aplicación de la ley y organismos de seguridad cibernética, es esencial para abordar los ataques APT a gran escala. Estas entidades cuentan con recursos y conocimientos especializados para investigar y perseguir a los perpetradores, lo que puede ayudar a desmantelar las operaciones de los grupos APT y llevarlos ante la justicia.
En este sentido, es fundamental establecer canales de comunicación eficientes y seguros entre los diferentes actores.
Esto puede incluir la participación en grupos de trabajo, foros de intercambio de información, plataformas de colaboración y el establecimiento de relaciones de confianza mutua.
La colaboración entre actores de seguridad, proveedores de servicios y autoridades competentes es crucial para combatir eficazmente los ataques de grupos APT como VANGUARD PANDA.
Al unir fuerzas, compartir información y adoptar un enfoque coordinado, podemos fortalecer nuestras defensas cibernéticas y trabajar hacia un entorno digital más seguro.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en:
SolarWinds demandada por ataque Orion 2020
SearchInform FileAuditor 2023: Potente Auditoría de Archivos
COMUNICACIÓN A 7724 BCRA: Plan para No Salir del Mercado
Cibercrimen vs Piratería Ética: 15 Tipos de Hackers Actuales
IA Generativa o ChatGPT corporativo seguro: Netskope 2023