Nejméně dva různé podezřelé clustery kybernetické špionáže spojené s Čínou, sledované jako UNC5325 a UNC3886, byly připsány zneužití bezpečnostních chyb v zařízeních Ivanti Connect Secure VPN.
UNC5325 zneužívá CVE-2024-21893 k doručení široké škály nového malwaru nazvaného LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET a PITHOOK, a také se pokusil udržet trvalý přístup ke kompromitovaným zařízením, uvedl Mandiant.
Team pro informace o hrozbách společnosti Google s mírnou jistotou vyhodnotil, že UNC5325 je spojen s UNC3886 kvůli překrývání zdrojového kódu v LITTLELAMB.WOOLTEA a PITHOOK s malwarem používaným posledně jmenovaným.
Stojí za zmínku, že UNC3886 má zkušenosti s využitím zero-day nedostatků v řešeních Fortinet a VMware k nasazení různých implantátů, jako jsou VIRTUALPITA, VIRTUALPIE, THINCRUST a CASTLETAP.
„UNC3886 se primárně zaměřil na obrannou průmyslovou základnu, technologie a telekomunikační organizace umístěné v USA a asijsko-pacifickém regionu,“ uvedli výzkumníci z Mandiantu.
K aktivnímu zneužívání CVE-2024-21893 – zranitelnosti serveru-side request forgery (SSRF) v SAML komponentě Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons pro ZTA – podle UNC5325 došlo údajně již v lednu, cílí na omezený počet zařízení.
Útokový řetězec zahrnuje kombinaci CVE-2024-21893 s dříve odhalenou zranitelností vkládání příkazů sledovanou jako CVE-2024-21887 za účelem získání neoprávněného přístupu k citlivým zařízením, což nakonec vede k nasazení nové verze BUSHWALK.
Některé případy také zahrnovaly zneužití legitimních komponent Ivanti, jako jsou zásuvné moduly SparkGateway. To zahrnuje zásuvný modul PITFUEL pro načtení škodlivého sdíleného objektu s kódovým označením LITTLELAMB.WOOLTEA, který přichází se schopností přetrvávat během událostí upgradu systému, oprav a obnovení továrního nastavení.
„I když pozorované omezené pokusy o udržení perzistence nebyly dosud úspěšné kvůli nedostatku logiky v kódu malwaru, který by zohledňoval nesoulad šifrovacího klíče, dále to ukazuje, jak dlouho bude UNC5325 trvat, než si udrží přístup k prioritním cílům, a zdůrazňuje, že je důležité zajistit, aby síťová zařízení měla nejnovější aktualizace a záplaty,“ zdůraznila společnost.
Dále funguje jako zadní vrátka, která podporují provádění příkazů, správu souborů, vytváření shellu, SOCKS proxy a tunelování síťového provozu.
Pozorován je také další škodlivý plugin SparkGateway nazvaný PITDOG, který injektuje sdílený objekt známý jako PITHOOK za účelem trvalého provádění implantátu označovaného jako PITSTOP, který je navržen pro provádění příkazů shellu, zápis souborů a čtení souborů na napadeném zařízení.
Mandiant popsal aktéra hrozby tak, že prokázal „jemné chápání zařízení a jejich schopnost podvracet detekci během této kampaně“ a pomocí technik žijících mimo pevninu (LotL) se vyhýbat detekci.
Společnost zabývající se kybernetickou bezpečností uvedla, že očekává, že „UNC5325, stejně jako další aktéři špionážní sítě China-nexus, budou i nadále využívat zranitelnosti zero day na síťových zařízeních a také malware specifický pro zařízení k získání a udržení přístupu do cílových prostředí“.
Zdroj: thehackernews.com
Obrázek: Pixabay