V prostredí kybernetickej bezpečnosti sa objavil nový sofistikovaný aktér hrozieb, ktorý sa zameriava na kritickú infraštruktúru v celých Spojených štátoch.
Protivník, vystupujúci pod názvom WARP PANDA, preukázal pozoruhodné technické schopnosti pri infiltrácii prostredí VMware vCenter v právnych, technologických a výrobných organizáciách.
Vznik tejto skupiny znamená výraznú eskaláciu cloudových kybernetických útokov s osobitným zameraním na získanie dlhodobého prístupu k citlivým sieťam a dátovým úložiskám.
Útočná kampaň odhaľuje premyslený a vypočítavý prístup, pričom dôkazy naznačujú, že niektoré prieniky siahajú do konca roku 2023.
WARP PANDA pracuje s pokročilými znalosťami cloudovej infraštruktúry a prostredí virtuálnych strojov, čo umožňuje skupine bezproblémový pohyb cez komplexné sieťové topológie.
Aktéri hrozieb začínajú svoju činnosť zameraním sa na okrajové zariadenia orientované na internet pred prechodom do prostredia vCenter, využívaním známych zraniteľností alebo používaním kompromitovaných prihlasovacích údajov na vytvorenie oporu v sieťach obetí.
Výskumníci v oblasti bezpečnosti CrowdStrike identifikovali a sledovali túto skupinu po objavení viacerých koordinovaných prienikov počas roku 2025.
Výskumníci zdokumentovali, ako WARP PANDA nasadila tri odlišné nástroje: malvér BRICKSTORM, webové shelly JSP a dva predtým neznáme implantáty s názvom Junction a GuestConduit.
Tento komplexný súbor nástrojov demonštruje záväzok skupiny udržiavať trvalý prístup a zároveň sa vyhýbať detekčným mechanizmom v kompromitovanom prostredí.
Mechanizmy infekcie a taktiky pretrvávania
BRICKSTORM slúži ako primárne zadné vrátka skupiny, napísané v Golangu a maskované ako legitímne procesy vCenter, ako je updatermgr alebo vami-http.
Malvér komunikuje s príkazovými a riadiacimi servermi pomocou pripojení WebSocket šifrovaných pomocou TLS, pričom využíva sofistikované techniky zahmlievania, aby sa zabránilo detekcii siete.
BRICKSTORM využíva DNS-over-HTTPS na rozlíšenie domén a vytvára vnorené kanály TLS, pričom využíva verejné cloudové služby, ako sú Cloudflare Workers a Heroku na hosťovanie infraštruktúry.
Mechanizmy perzistencie používané WARP PANDA predstavujú pokročilé prevádzkové bezpečnostné postupy.
Chyby, ktoré využíva WARP PANDA:-
Zraniteľnosť IDOvplyvnená ComponentDescriptionCVE-2024-21887, CVE-2023-46805Ivanti Connect Secure VPN, Ivanti Policy SecureAuthentication obídenie a vzdialené vykonávanie príkazovCVE-2024-38812VMware vCenterHeap-overflow v implementácii protokolu DCERPC-2IPCVE-467F5 Zraniteľnosť pri obchádzaní autentifikácieCVE-2023-34048VMware vCenterOut-of-bounds zápis v protokole DCERPC; umožňuje RCECVE-2021-22005VMware vCenter Zraniteľnosť kritickej závažnosti ovplyvňujúca servery vCenter
Skupina používa SSH a privilegovaný účet vpxuser na laterálny pohyb, pričom na zakrytie stôp využíva vyčistenie denníka a časovanie súborov.
Vytvárajú neregistrované škodlivé virtuálne stroje, ktoré sa po použití vypnú, a tunelujú prevádzku cez napadnuté systémy, aby zmiešali škodlivú komunikáciu s legitímnou sieťovou aktivitou.
Junction a GuestConduit spolupracujú, pričom Junction počúva na porte 8090, aby komunikoval s hosťujúcimi VM cez VM sockety, zatiaľ čo GuestConduit uľahčuje tunelovanie sieťovej prevádzky v rámci virtuálnych počítačov.
Sledujte nás na Google News, LinkedIn a X a získajte viac okamžitých aktualizácií, nastavte CSN ako preferovaný zdroj v Google.
