Presuntos actores estatales implementaron hasta cinco familias diferentes de malware como parte de actividades posteriores a la explotación aprovechando dos vulnerabilidades de día cero en dispositivos VPN Ivanti Connect Secure (ICS) desde principios de diciembre de 2023.
«Estas familias permiten a los actores de amenazas eludir la autenticación y proporcionar acceso de puerta trasera a estos dispositivos», Mandiant dicho en un análisis publicado esta semana. La firma de inteligencia de amenazas propiedad de Google está rastreando al actor de amenazas bajo el apodo UNC5221.
Los ataques aprovechan una cadena de exploits que comprende una falla de omisión de autenticación (CVE-2023-46805) y una vulnerabilidad de inyección de código (CVE-2024-21887) para hacerse cargo de instancias susceptibles.
Volexity, que atribuyó la actividad a un presunto actor de espionaje chino llamado UTA0178, dijo que las fallas gemelas se utilizaron para obtener acceso inicial, implementar webshells, puertas traseras de archivos legítimos, capturar credenciales y datos de configuración, y girar más hacia el entorno de la víctima.
Según Ivanti, las intrusiones afectaron a menos de 10 clientes, lo que indica que podría tratarse de una campaña muy dirigida. Parches para las dos vulnerabilidades (informalmente llamados Conectar alrededor) se espera que estén disponibles en la semana del 22 de enero.
El análisis de los ataques realizado por Mandiant ha revelado la presencia de cinco familias diferentes de malware personalizado, además de inyectar código malicioso en archivos legítimos dentro de ICS y utilizar otras herramientas legítimas como Caja ocupada y PySoxy para facilitar la actividad posterior.
«Debido a que ciertas secciones del dispositivo son de solo lectura, UNC5221 aprovechó un script Perl (sessionserver.pl) para volver a montar el sistema de archivos como lectura/escritura y habilitar la implementación de THINSPOOL, un dropper de scripts de shell que escribe el shell web LIGHTWIRE en un archivo legítimo Connect Secure y otras herramientas de seguimiento», dijo la compañía.
LIGHTWIRE es uno de los dos shells web, el otro es WIREFIRE, que son «puntos de apoyo livianos» diseñados para garantizar el acceso remoto persistente a los dispositivos comprometidos. Mientras que LIGHTWIRE está escrito en Perl CGI, WIREFIRE está implementado en Python.
También se utilizan en los ataques un ladrón de credenciales basado en JavaScript denominado WARPWIRE y una puerta trasera pasiva llamada ZIPLINE que es capaz de descargar/cargar archivos, establecer un shell inverso, crear un servidor proxy y configurar un servidor de túnel para distribuir el tráfico entre múltiples puntos finales. .
«Esto indica que no se trata de ataques oportunistas, y que UNC5221 tenía la intención de mantener su presencia en un subconjunto de objetivos de alta prioridad que comprometió después de que inevitablemente se lanzara un parche», añadió Mandiant.
UNC5221 no se ha vinculado a ningún grupo conocido anteriormente o a un país en particular, aunque el ataque a la infraestructura perimetral mediante el uso de fallas de día cero como arma y el uso de una infraestructura comprometida de comando y control (C2) para eludir la detección tiene todas las características de un amenaza persistente avanzada (APT).
«La actividad de UNC5221 demuestra que explotar y vivir en el borde de las redes sigue siendo un objetivo viable y atractivo para los actores de espionaje», dijo Mandiant.