CrowdStrike révèle l’existence de Warp Panda, un groupe APT présumé lié à la Chine, actif depuis 2022 et spécialisé dans l’exploitation d’environnements VMware pour des opérations d’espionnage ciblées.
Identifié cet été par CrowdStrike, Warp Panda est spécialisé dans les intrusions ciblées et utilise des techniques de cyberespionnage avancées, activées par le cloud. L’équipe de recherche de l’éditeur suppose que le groupe agit dans l’intérêt de la Chine.
Des techniques de cyberespionnage avancées
Actif depuis 2022, le groupe cible des environnements VMware vCenter d’organisations américaines des secteurs juridique, technologique et manufacturier. Il a maintenu un accès persistant de longue durée dans les réseaux compromis, sans doute pour soutirer des renseignements alignés avec les intérêts du gouvernement chinois. Dans l’une des intrusions observées, l’accès initial remontait à la fin 2023.
Une fois introduits dans l’environnement de leur cible, les acteurs de la menace déploient des shells JSP et le malware Brickstorm sur les serveurs VMware vCenter, afin de faire transiter le trafic via les serveurs vCenter, les hôtes ESXi et les machines virtuelles invitées.
Les acteurs de la menace ont également développé deux implants en Golang, Junction et GuestConduit : le premier pour les hôtes ESXi, le second pour les machines virtuelles invitées. Ils se font passer pour des processus vCenter légitimes et peuvent survivre à la suppression de fichiers et aux redémarrages système grâce à leurs mécanismes de persistance.
« À de nombreuses reprises, CrowdStrike a observé WARP PANDA préparant des données pour exfiltration », écrivent les chercheurs. Pour ce faire, le groupe a utilisé une version de 7-Zip compatible ESXi pour extraire et préparer des données à partir de snapshots à allocation fine de machines virtuelles ESXi en fonctionnement. 7-Zip a également été employé pour extraire des données depuis des disques VM hébergés sur un hyperviseur Linux non-ESXi.
Des recommandations pour contrer Warp Panda
Warp Panda aurait également cloné des VM de contrôleurs de domaine, sans doute afin de collecter des données sensibles telles que la base de données des services de domaine Active Directory. « WARP PANDA a probablement utilisé son accès à l’un des réseaux compromis pour mener une reconnaissance préalable contre une entité gouvernementale située en Asie-Pacifique. Ils se sont également connectés à divers blogs de cybersécurité et à un dépôt GitHub en mandarin », décrit CrowdStrike. Dans un cas étudié, les attaquants ont aussi consulté des comptes mails de salariés travaillant sur des sujets en lien avec les intérêts de Pékin.
Pour se prémunir face à cette menace avancée, CrowdStrike a émis une série de recommandations. Il enjoint notamment de surveiller de près la création non autorisée de machines virtuelles, de conserver et surveiller les logs ESXi et vCenter, d’auditer les connexions sortantes non autorisées — notamment vers des infrastructures de commande et de contrôle liées à Brickstorm. Il recommande également de surveiller les authentifications SSH, de désactiver l’accès SSH aux hôtes VMware ESXi, de restreindre l’accès Internet sortant depuis ESXi et vCenter, et de mettre en place une segmentation réseau ainsi que des règles de pare-feu pour les interfaces de gestion ESXi, entre autres.
