Google’ın sahibi olduğu Mandiant, Ivanti Connect Secure VPN ve Policy Secure cihazlarını hedef alan istismar sonrası faaliyetler sırasında UNC5221 olarak bilinen Çin bağlantılı bir casusluk tehdit aktörü ve diğer tehdit grupları tarafından kullanılan yeni kötü amaçlı yazılımların tespit edildiğini söyledi.
Buna BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE’ın bir çeşidi gibi özel web kabukları dahildir.
Şirket, “CHAINLINE, Ivanti Connect Güvenli Python paketine yerleştirilmiş ve keyfi komut yürütmeye olanak tanıyan bir Python web kabuğu arka kapısıdır” dedi. söz konusubunu UNC5221’e atfederek, aynı zamanda JavaScript tabanlı bir kimlik bilgisi hırsızı olan WARPWIRE’ın birden fazla yeni sürümünü de tespit ettiğini ekledi.
Enfeksiyon zincirleri, kimliği doğrulanmamış bir tehdit aktörünün Ivanti cihazında yükseltilmiş ayrıcalıklarla rastgele komutlar yürütmesine olanak tanıyan CVE-2023-46805 ve CVE-2024-21887’nin başarılı bir şekilde kullanılmasını gerektirir.
Kusurlar, Aralık 2023’ün başından bu yana sıfır gün olarak istismar ediliyor. Almanya Federal Bilgi Güvenliği Dairesi (BSI) söz konusu ülkede “birden fazla güvenliği ihlal edilmiş sistemin” farkındadır.
Perl’de yazılmış ve yüksek hedefli saldırılarda Ivanti tarafından sağlanan azaltımları atlatarak konuşlandırılan BUSHWALK, “querymanifest.cgi” adlı meşru bir Connect Secure dosyasına yerleştirilmiştir ve bir sunucuya dosya okuma veya dosya yazma yeteneği sunar.
Öte yandan, FRAMESTING, Ivanti Connect Güvenli Python paketine yerleştirilmiş bir Python web kabuğudur (aşağıdaki “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg yolunda bulunur) /cav/api/resources/category.py”) isteğe bağlı komut yürütmeye olanak sağlar.
Mandiant’ın ZIPLINE pasif arka kapısına ilişkin analizi aynı zamanda “komuta ve kontrol (C2) oluşturmak için kullanılan özel protokolünün kimlik doğrulamasını sağlamak için kapsamlı işlevsellik” kullandığını da ortaya çıkardı.
Ayrıca saldırılar, aşağıdaki gibi açık kaynaklı yardımcı programların kullanımıyla karakterize edilir: Darbe, CrackMapExec, iyotVe Enum4linux Ağ keşfi, yanal hareket ve kurban ortamlarında veri sızması da dahil olmak üzere Ivanti CS cihazlarında istismar sonrası faaliyetleri desteklemek.
Ivanti o zamandan beri iki güvenlik açığını daha açıkladı: CVE-2024-21888 ve CVE-2024-21893; bunlardan ikincisi “sınırlı sayıda müşteriyi” hedef alarak aktif olarak istismar edildi. Şirket ayrıca dört güvenlik açığını gidermek için ilk düzeltme turunu yayınladı.
UNC5221’in, Çin merkezli casusluk aktörleriyle bağlantılı geçmiş saldırılarla örtüşen altyapısı ve araçlarıyla Çin için stratejik öneme sahip çok çeşitli endüstrileri hedef aldığı söyleniyor.
Mandiant, “Olay müdahale araştırmalarında tespit edilen Linux tabanlı araçlar, birden fazla Çince Github deposundan gelen kodları kullanıyor” dedi. “UNC5221, şüpheli ÇHC bağlantı noktası aktörleri tarafından uç altyapının sıfır gün kullanımıyla ilişkili TTP’lerden büyük ölçüde yararlandı.”
CISA Yeni Kılavuz Yayımladı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü Veriliş Etkilenen Ivanti’yi, “mümkün olan en kısa sürede ve en geç 2 Şubat 2024 Cuma günü saat 23:59’a kadar” ağlarıyla olan bağlantılarını kesmeye ve yamaları uyguladıktan sonra onları tekrar canlı hale getirmeden önce uzlaşma işaretleri aramaya çağıran ek rehberlik.
Ajansların ayrıca 1 Mart 2024’e kadar şirket içi hesaplar için şifreleri iki kez sıfırlamak, Kerberos biletlerini iptal etmek ve ardından hibrit dağıtımlarda bulut hesapları için belirteçleri iptal etmek için adımlar atarak “etkilenen ürünlerle ilişkili etki alanı hesaplarının ele geçirildiğini varsayması” gerekiyordu. .