Mandiant, propiedad de Google, dijo que identificó un nuevo malware empleado por un actor de amenazas de espionaje del nexo con China conocido como UNC5221 y otros grupos de amenazas durante la actividad posterior a la explotación dirigida a dispositivos Ivanti Connect Secure VPN y Policy Secure.
Esto incluye shells web personalizados como BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.
“CHAINLINE es una puerta trasera de shell web de Python que está integrada en un paquete Ivanti Connect Secure Python que permite la ejecución de comandos arbitrarios”, dijo la empresa. dichoatribuyéndolo a UNC5221, agregando que también detectó múltiples versiones nuevas de WARPWIRE, un ladrón de credenciales basado en JavaScript.
Las cadenas de infección implican una explotación exitosa de CVE-2023-46805 y CVE-2024-21887, que permiten a un actor de amenazas no autenticado ejecutar comandos arbitrarios en el dispositivo Ivanti con privilegios elevados.
Desde principios de diciembre de 2023 se ha abusado de los fallos como de día cero. Oficina Federal de Seguridad de la Información (BSI) de Alemania dicho está al tanto de “múltiples sistemas comprometidos” en el país.
BUSHWALK, escrito en Perl e implementado eludiendo las mitigaciones emitidas por Ivanti en ataques altamente dirigidos, está integrado en un archivo Connect Secure legítimo llamado “querymanifest.cgi” y ofrece la capacidad de leer o escribir archivos en un servidor.
Por otro lado, FRAMESTING es un shell web de Python integrado en un paquete Ivanti Connect Secure Python (ubicado en la siguiente ruta “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py”) que permite la ejecución de comandos arbitrarios.
El análisis de Mandiant de la puerta trasera pasiva ZIPLINE también ha descubierto el uso de “amplia funcionalidad para garantizar la autenticación de su protocolo personalizado utilizado para establecer comando y control (C2)”.
Además, los ataques se caracterizan por el uso de utilidades de código abierto como Paquete, CrackMapExec, yodoy Enum4linux para respaldar la actividad posterior a la explotación en los dispositivos Ivanti CS, incluido el reconocimiento de red, el movimiento lateral y la filtración de datos dentro de los entornos de las víctimas.
Desde entonces, Ivanti ha revelado dos fallos de seguridad más, CVE-2024-21888 y CVE-2024-21893, el último de los cuales ha sido objeto de explotación activa dirigida a un “número limitado de clientes”. La compañía también lanzó la primera ronda de correcciones para abordar las cuatro vulnerabilidades.
Se dice que UNC5221 apunta a una amplia gama de industrias que son de interés estratégico para China, y su infraestructura y herramientas se superponen con intrusiones pasadas vinculadas a actores de espionaje con sede en China.
“Las herramientas basadas en Linux identificadas en las investigaciones de respuesta a incidentes utilizan código de múltiples repositorios Github en idioma chino”, dijo Mandiant. “UNC5221 ha aprovechado en gran medida los TTP asociados con la explotación de día cero de la infraestructura de borde por parte de actores sospechosos del nexo con la República Popular China”.
About the Author
