01 février 2024RédactionSécurité réseau/logiciels malveillants

Mandiant, propriété de Google, a déclaré avoir identifié de nouveaux logiciels malveillants employés par un acteur de menace d’espionnage lié à la Chine connu sous le nom d’UNC5221 et d’autres groupes de menaces au cours d’activités post-exploitation ciblant les appareils Ivanti Connect Secure VPN et Policy Secure.

Cela inclut des shells Web personnalisés tels que BUSHWALK, CHAINLINE, FRAMESTING et une variante de LIGHTWIRE.

“CHAINLINE est une porte dérobée du shell Web Python intégrée dans un package Ivanti Connect Secure Python qui permet l’exécution de commandes arbitraires”, explique la société. ditl’attribuant à UNC5221, ajoutant qu’il a également détecté plusieurs nouvelles versions de WARPWIRE, un voleur d’informations d’identification basé sur JavaScript.

Les chaînes d’infection impliquent une exploitation réussie des CVE-2023-46805 et CVE-2024-21887, qui permettent à un acteur malveillant non authentifié d’exécuter des commandes arbitraires sur l’appliance Ivanti avec des privilèges élevés.

La cyber-sécurité

Ces failles ont été exploitées en tant que Zero Day depuis début décembre 2023. L’Office fédéral allemand de la sécurité de l’information (BSI) dit il est au courant de « plusieurs systèmes compromis » dans le pays.

BUSHWALK, écrit en Perl et déployé en contournant les mesures d’atténuation émises par Ivanti lors d’attaques hautement ciblées, est intégré dans un fichier Connect Secure légitime nommé « querymanifest.cgi » et offre la possibilité de lire ou d’écrire des fichiers sur un serveur.

D’autre part, FRAMESTING est un shell Web Python intégré dans un package Ivanti Connect Secure Python (situé dans le chemin suivant “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py”) qui permet l’exécution de commandes arbitraires.

L’analyse de Mandiant de la porte dérobée passive ZIPLINE a également révélé son utilisation de « fonctionnalités étendues pour garantir l’authentification de son protocole personnalisé utilisé pour établir le commandement et le contrôle (C2) ».

De plus, les attaques se caractérisent par l’utilisation d’utilitaires open source comme Impacket, CrackMapExec, iodeet Enum4linux pour prendre en charge les activités post-exploitation sur les appliances Ivanti CS, y compris la reconnaissance du réseau, les mouvements latéraux et l’exfiltration de données dans les environnements victimes.

La cyber-sécurité

Ivanti a depuis divulgué deux autres failles de sécurité, CVE-2024-21888 et CVE-2024-21893, cette dernière étant activement exploitée ciblant un « nombre limité de clients ». La société a également publié la première série de correctifs pour corriger les quatre vulnérabilités.

UNC5221 ciblerait un large éventail d’industries présentant un intérêt stratégique pour la Chine, son infrastructure et ses outils chevauchant des intrusions passées liées à des acteurs d’espionnage basés en Chine.

“Les outils basés sur Linux identifiés lors des enquêtes de réponse aux incidents utilisent le code de plusieurs référentiels Github en langue chinoise”, a déclaré Mandiant. “UNC5221 a largement exploité les TTP associés à l’exploitation zero-day de l’infrastructure de périphérie par des acteurs présumés du lien avec la RPC.”

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57