Er is waargenomen dat een Chinese geavanceerde aanhoudende dreiging die werd gevolgd als Deep Panda misbruik maakte van de Log4Shell-kwetsbaarheid in VMware Horizon-servers om een achterdeur en een nieuwe rootkit op geïnfecteerde machines te implementeren met als doel gevoelige gegevens te stelen.
“De aard van targeting was opportunistisch in die zin dat meerdere infecties in verschillende landen en verschillende sectoren op dezelfde data plaatsvonden”, zei Rotem Sde-Or en Eliran Voronovitch, onderzoekers van Fortinet’s FortiGuard Labs, in een rapport dat deze week is vrijgegeven. “De slachtoffers behoren tot de financiële, academische, cosmetische en reisindustrieën.”
Diepe Pandaook bekend onder de bijnamen Shell Crew, KungFu Kittens en Bronze Firestone, zou actief zijn sinds ten minste 2010, met recente aanvallen “gericht op juridische firma’s voor gegevensexfiltratie en technologieleveranciers voor het bouwen van command-and-control-infrastructuur.” volgens naar Secureworks.
Cyberbeveiligingsbedrijf CrowdStrike, dat de groep al in juli 2014 de naam panda-thema toekende, genaamd het “een van de meest geavanceerde Chinese natiestaat cyberinbraakgroepen.”
De nieuwste reeks aanvallen die door Fortinet zijn gedocumenteerd, toont aan dat de infectieprocedure de exploitatie van de Log4j-fout voor de uitvoering van externe code (ook bekend als Log4Shell) in kwetsbare VMware Horizon-servers omvatte om een reeks tussenstadia te creëren, wat uiteindelijk leidde tot de inzet van een achterdeur genaamd Milestone (“1.dll”).
Gebaseerd op de gelekte broncode van de beruchte Gh0st RAT maar met opmerkelijke verschillen in het command-and-control (C2) communicatiemechanisme dat wordt gebruikt, is Milestone ook ontworpen om informatie over de huidige sessies op het systeem naar de externe server te sturen.
Ook gedetecteerd tijdens de aanvallen is een kernelrootkit genaamd “Fire Chili” die digitaal is ondertekend met gestolen certificaten van game-ontwikkelingsbedrijven, waardoor het detectie door beveiligingssoftware kan omzeilen en kwaadaardige bestandsbewerkingen, processen, toevoegingen van registersleutels en netwerkverbindingen kan verbergen.
Dit wordt bereikt door middel van ioctl (invoer/uitvoercontrole) systeemaanroepen om de registersleutel van de rootkit van het stuurprogramma, de Milestone-backdoor-bestanden en het laadbestand en het proces dat wordt gebruikt om het implantaat te starten, te verbergen.
Fortinet’s toeschrijving aan Deep Panda komt voort uit overlappingen tussen Milestone en Infoadmin RAT, een trojan voor externe toegang die begin 2010 werd gebruikt door het geavanceerde hackcollectief, met aanvullende aanwijzingen die wijzen op tactische overeenkomsten met die van de Winnti-groep.
Dit wordt ondersteund door het gebruik van gecompromitteerde digitale handtekeningen van gamingbedrijven, een doelwit bij uitstek voor Winnti, evenals een C2-domein (gnisoft[.]com), die is geweest eerder gelinkt aan de door de Chinese staat gesponsorde acteur in 2020.
“De reden waarom deze tools aan twee verschillende groepen zijn gekoppeld, is op dit moment onduidelijk”, aldus de onderzoekers. “Het is mogelijk dat de ontwikkelaars van de groepen bronnen, zoals gestolen certificaten en C2-infrastructuur, met elkaar hebben gedeeld. Dit kan verklaren waarom de voorbeelden pas enkele uren na het compileren werden ondertekend.”
De onthulling voegt toe aan een lange lijst van hackgroepen die misbruik hebben gemaakt van de Log4Shell-kwetsbaarheid gericht op het virtualisatieplatform van VMware.
In december 2021 beschreef CrowdStrike een mislukte campagne van een tegenstander genaamd Aquatic Panda die de fout gebruikte om verschillende post-exploitatie-operaties uit te voeren, waaronder verkenning en het verzamelen van referenties op gerichte systemen.
Sindsdien hebben meerdere groepen zich bij de strijd gevoegd, waaronder de Iraanse TunnelVision-groep, die actief werd geobserveerd door het defect van de Log4j-logboekbibliotheek te misbruiken om ongepatchte VMware Horizon-servers te compromitteren met ransomware.
Meest recentelijk heeft cyberbeveiligingsbedrijf Sophos gemarkeerd een hele reeks aanvallen op kwetsbare Horizon-servers die sinds januari aan de gang zijn en zijn opgezet door bedreigingsactoren om illegaal cryptocurrency te minen, op PowerShell gebaseerde reverse shells te installeren of om Atera-agenten in te zetten om op afstand extra payloads te leveren.
“Pogingen om Horizon-servers te compromitteren behoren vanwege hun aard tot de meer gerichte exploits van Log4Shell-kwetsbaarheden”, aldus Sophos-onderzoekers, eraan toevoegend dat “platforms zoals Horizon bijzonder aantrekkelijke doelen zijn voor alle soorten kwaadwillende actoren omdat ze wijdverbreid zijn en (indien nog kwetsbaar) gemakkelijk te vinden en te exploiteren met goed geteste tools.”
