Дослідники виявили, що група Flax Typhoon (також відома як Ethereal Panda / RedJuliett) перетворила компонент ArcGIS-серверу на прихований веб-шель і підтримувала доступ до мережі жертви більше року, використавши модифікований SOE і «моста» на базі SoftEther для прихованого VPN-каналу.
Атака полягала в розгортанні зміненого Java SOE (Server Object Extension) у публічно доступному ArcGIS-порталі: зловмисники активували цей модуль через стандартний REST-виклик, додали жорстко вбудований («hardcoded») ключ доступу і таким чином отримали прихований канал управління, який важко виявити звичайними засобами моніторингу. Через бекдор вони виконували мережеву розвідку, завантажували на сервер перероблений бінарник SoftEther (переіменований у `bridge.exe`), створювали сервіс «SysBridge» і встановлювали стійкий зворотний VPN-міст — що робило їх «частиною» внутрішньої мережі жертви та дозволяло вести подальший латеральний рух і ексфільтрацію даних. Для ескалації зловмисники ретельно добирали цілі й зосередилися на робочих станціях IT-персоналу, звідки отримували права адміністратора і змінювали паролі.
Flax Typhoon — група з історією складних, «життєвих» (living-off-the-land) операцій, яка відома адаптивністю тактик: використання легітимних системних компонентів і процедур для приховування дій. Цей інцидент ілюструє тенденцію, коли атакувальники вместо грубих експлойтів обирають підміну/зловживання довірених розширень і резервних копій, щоб домогтися довготривалої персистенції, навіть після звичайного відновлення системи.
Організаціям, що використовують ArcGIS та інші критичні корпоративні платформи, варто негайно:
перевірити цілісність серверних розширень і резервних копій;
застосувати останні патчі і оновлення;
примусово скинути облікові адміністративні паролі та увімкнути багатофакторну автентифікацію;
посилити моніторинг нестандартних вихідних HTTPS-з’єднань і сервісів;
сегментувати мережі й обмежити права запуску сервісів;
провести аудит та реагування на індикатори компрометації (IOC). Підхід «захисту від довірених компонентів» має стати пріоритетом — адже саме вони стають новою улюбленою пляцдармою для глибинних і довготривалих атак.
