Los actores de amenazas vinculados a China han sido atribuidos a una campaña novedosa que comprometió un ArcGIS y lo convirtió en una puerta trasera durante más de un año.
La actividad, según ReliaQuest, es obra de un grupo de hackers patrocinado por el estado chino llamado Tifón del lino , que también aparece como Ethereal Panda y RedJuliett. Según el gobierno de los Estados Unidos, es juzgado ser una empresa con sede en Beijing que cotiza en bolsa conocida como Integrity Technology Group.
«El grupo modificó hábilmente la extensión de objetos de servidor (SOE) Java de una aplicación de mapeo geográfico para convertirla en una consola web funcional», dijo la empresa de ciberseguridad dijo en un informe compartido con The Hacker News. «Al bloquear el acceso con una clave codificada para tener un control exclusivo e integrarla en las copias de seguridad del sistema, lograron una persistencia profunda y duradera que podría sobrevivir a una recuperación total del sistema».
Flax Typhoon es conocida por estar a la altura del «sigilo» en su oficio al incorporar ampliamente métodos de vida fuera de la tierra (LoTL) y la actividad práctica del teclado, lo que convierte los componentes del software en vehículos para ataques maliciosos y, al mismo tiempo, evita ser detectados.
El ataque demuestra cómo los atacantes abusan cada vez más de herramientas y servicios confiables para eludir las medidas de seguridad y obtener acceso no autorizado a los sistemas de las víctimas, al mismo tiempo que se mezclan con el tráfico normal de los servidores.
La «cadena de ataque inusualmente inteligente» implicaba que los atacantes atacaran un servidor ArcGIS de acceso público al comprometer una cuenta de administrador del portal para implementar un SEO malintencionado.
«Los atacantes activaron el SEO malintencionado utilizando una extensión ArcGIS estándar [JavaSimpleRestsoe], invocando una operación REST para ejecutar comandos en el servidor interno a través del portal público, lo que dificultaba la detección de su actividad», afirma ReliaQuest. «Al añadir una clave codificada, Flax Typhoon evitó que otros atacantes, o incluso administradores curiosos, alteraran su acceso».
Se dice que el «shell web» se usó para ejecutar operaciones de detección de redes, establecer la persistencia cargando un ejecutable de SoftEther VPN con el nombre cambiado (» bridge.exe «) en la carpeta «System32" y, a continuación, crear un servicio llamado «SysBridge» para iniciar automáticamente el binario cada vez que se reiniciaba el servidor.
Se ha descubierto que el proceso "bridge.exe" establece conexiones HTTPS salientes a una dirección IP controlada por un atacante en el puerto 443 con el objetivo principal de configurar un canal VPN encubierto para el servidor externo.
«Este puente VPN permite a los atacantes extender la red local del objetivo a una ubicación remota, haciendo que parezca que el atacante forma parte de la red interna», explicaron los investigadores Alexa Feminella y James Xiang. «Esto les permitió eludir la supervisión a nivel de red, actuando como una puerta trasera que les permitía realizar movimientos laterales adicionales y realizar más operaciones de exfiltración».
Se dice que los actores de la amenaza atacaron específicamente dos estaciones de trabajo que pertenecían al personal de TI para obtener credenciales y seguir adentrándose en la red. Una investigación más profunda descubrió que el adversario tenía acceso a la cuenta administrativa y pudo restablecer la contraseña.
«Este ataque pone de relieve no solo la creatividad y la sofisticación de los atacantes, sino también el peligro de que las funciones confiables del sistema se utilicen como armas para evadir la detección tradicional», señalaron los investigadores. «No se trata solo de detectar actividades malintencionadas, sino de reconocer cómo se pueden manipular herramientas y procesos legítimos y ponerlos en tu contra».