По данным Black Lotus Labs, подразделения Lumen Technologies, занимающегося исследованием и операциями в сфере угроз, группа хакеров воспользовалась уязвимостью нулевого дня в Versa Director — программном обеспечении, используемом рядом интернет-провайдеров для защиты своих сетевых операций, — и смогла скомпрометировать несколько интернет-компаний в США и за рубежом.
Lumen полагает, что атаки могут исходить из Китая.
«Основываясь на известных и наблюдаемых тактиках и методах, Black Lotus Labs с умеренной уверенностью приписывает эксплуатацию уязвимости нулевого дня CVE-2024-39717 и оперативное использование веб-шелла VersaMem спонсируемым государством китайским группировкам, известным как Volt Typhoon и Bronze Silhouette», — сказал Люмен.
Исследователи Lumen идентифицировали четырех жертв из США и одну иностранную жертву. Согласно Вашингтон Пост«Считается, что целями являются правительственные и военные сотрудники, работающие под прикрытием, а также группы, представляющие стратегический интерес для Китая».
Китай отверг подобные обвинения. «Volt Typhoon» на самом деле является киберпреступной группировкой, занимающейся вымогательством, которая называет себя «Темной силой» и не спонсируется ни одним государством или регионом», — заявил представитель посольства Лю Пэнюй. Вашингтон Пост. Такое же заявление сделал 15 апреля пресс-секретарь Министерства иностранных дел Китая Линь Цзянь. Глобал Таймс.
По словам исследователей, эксплойт «вероятно, направлен на неисправленные системы Versa Director».
Согласно результатам, Volt Typhoon использовал специализированную веб-оболочку под названием «VersaMem» для захвата данных входа пользователя. VersaMem, сложная вредоносная программа, работает, прикрепляясь к различным процессам и манипулируя кодом Java уязвимых серверов. Она работает полностью в памяти, что делает ее особенно трудной для обнаружения.
Эксплойт был нацелен на серверы Versa Director. Эти серверы часто используются поставщиками интернет-услуг и управляемых услуг, что делает их привлекательной целью для злоумышленников, стремящихся расширить свое влияние через настройки управления корпоративными сетями.
Компания Versa Networks признала наличие уязвимости в понедельник, подтвердив, что она была использована «по крайней мере в одном известном случае».
Lumen сообщает, что веб-оболочка VersaMem была впервые загружена на агрегатор вредоносных программ VirusTotal 7 июня, всего за несколько дней до самой ранней из замеченных эксплойтов. Вредоносная программа была скомпилирована с использованием Apache Maven, в коде были обнаружены комментарии на китайских иероглифах. По состоянию на середину августа антивирусное программное обеспечение не обнаружило ни одного уязвимости.
Брэндон Уэйлс, бывший исполнительный директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), недавно рассказал Запись что китайские хакеры улучшили свои возможности по атакам на ключевые объекты США, и подчеркнули необходимость увеличения инвестиций в кибербезопасность.
«Китай продолжает нацеливаться на критическую инфраструктуру США», — сказал он в интервью. «Разоблачение усилий Volt Typhoon, очевидно, привело к изменениям в тактике, в методах, которые они используют, но мы знаем, что они продолжают каждый день пытаться поставить под угрозу критическую инфраструктуру США».
Компания по кибербезопасности подчеркнула серьезность уязвимости и изощренность злоумышленников.
Между тем, в Black Lotus Labs подчеркнули, что любая операция, использующая Versa Director, должна обновить программное обеспечение «до версии 22.1.4 или более поздней».
Вознаграждение до $580 за регистрацию на Bybit!
