Зачем ломиться в сервер, если можно тихо сидеть в файрволе? Китайские хакеры нашли идеальное укрытие в корпоративных сетях
VerdantBamboo целенаправленно атаковали устройства, на которых средства защиты традиционно отсутствуют.
Китайская группировка VerdantBamboo сумела почти полтора года скрытно находиться в сетях жертвы, используя для этого устройства, которые многие компании привыкли считать второстепенными. Вместо рабочих станций и серверов злоумышленники сделали ставку на сетевые хранилища, межсетевые экраны и специализированные виртуальные машины, где редко устанавливают средства защиты и контроля.
Специалисты Volexity обнаружили атаку после того, как заметили подозрительные соединения с виртуальной машиной Egnyte Storage Sync. Система, предназначенная для синхронизации локальных файлов с облаком, неожиданно начала связываться не с инфраструктурой Egnyte, а с доменом, который контролировали злоумышленники. При дополнительном анализе специалисты выявили вредоносную программу BRICKSTORM, связанную с группировкой VerdantBamboo, также известной как WARP PANDA и UNC5221.
Расследование показало, что атакующие получили доступ к устройству через действительные учётные данные и использовали встроенные возможности системы, чтобы повысить привилегии. Ошибка в настройках позволяла записывать файлы с правами администратора практически в любую часть файловой системы. Позже производитель Egnyte устранил проблему в версии Storage Sync v13.13.
Получив контроль над устройством, злоумышленники использовали его как промежуточный узел для доступа к облачной среде Microsoft 365. Такой подход помог маскировать активность под легитимный трафик компании и обходить политики условного доступа, которые в обычной ситуации должны были блокировать подозрительные подключения.
Во время расследования выяснилось, что компрометация затронула не только саму организацию, но и её поставщика управляемых услуг. На межсетевом экране pfSense специалисты нашли вариант BRICKSTORM для FreeBSD. Следы присутствия VerdantBamboo на устройстве также уходили примерно на 18 месяцев назад. Volexity полагает, что именно через взлом поставщика злоумышленники получили доступ к учётным данным и инфраструктуре клиента.
Даже после того как вредоносные компоненты удалили, группа смогла вернуться в сеть жертвы. Используя похищенные административные учётные данные, злоумышленники подключились к межсетевому экрану организации через открытый из интернета интерфейс управления. Затем они настроили собственный канал удалённого доступа и проникли внутрь сети повторно. Следующей целью стало сетевое хранилище Synology, на котором обнаружили ранее неизвестную вредоносную программу PLENET.
Помимо BRICKSTORM специалисты выявили ещё два семейства вредоносного ПО, которые ранее не описывались публично. Первое получило название PLENET. Программа написана на платформе .NET и предоставляет злоумышленникам удалённый доступ, выполнение команд и управление файлами. Второй инструмент, AGENTPSD, представляет собой простой обратный командный интерпретатор на Python. По мнению специалистов, его подготовили как резервный вариант на случай потери доступа через основные каналы управления.
Отдельное внимание привлёк выбор целей внутри сети. VerdantBamboo предпочитала устройства, на которых обычно отсутствуют системы обнаружения угроз. Межсетевые экраны, специализированные виртуальные машины и сетевые хранилища позволяли группе сохранять присутствие месяцами, практически не привлекая внимания служб безопасности.
По данным Volexity, именно такой подход стал ключом к успеху операции. Вместо громких атак на рабочие станции злоумышленники закреплялись на периферийных устройствах инфраструктуры и использовали их как скрытые плацдармы для дальнейшего доступа к корпоративным сервисам и данным.