Jusqu’à cinq familles de logiciels malveillants différentes ont été déployées par des acteurs étatiques présumés dans le cadre d’activités post-exploitation exploitant deux vulnérabilités zero-day dans les appliances VPN Ivanti Connect Secure (ICS) depuis début décembre 2023.
« Ces familles permettent aux auteurs de menaces de contourner l’authentification et de fournir un accès dérobé à ces appareils », Mandiant dit dans une analyse publiée cette semaine. La société de renseignement sur les menaces appartenant à Google suit l’acteur menaçant sous le surnom UNC5221.
Les attaques exploitent une chaîne d’exploitation comprenant une faille de contournement d’authentification (CVE-2023-46805) et une vulnérabilité d’injection de code (CVE-2024-21887) pour prendre le contrôle des instances sensibles.
Volexity, qui a attribué l’activité à un acteur d’espionnage chinois présumé nommé UTA0178, a déclaré que les deux failles étaient utilisées pour obtenir un accès initial, déployer des webshells, des fichiers légitimes par porte dérobée, capturer des informations d’identification et des données de configuration, et pivoter davantage dans l’environnement de la victime.
Selon Ivanti, les intrusions ont touché moins de 10 clients, ce qui indique qu’il pourrait s’agir d’une campagne très ciblée. Correctifs pour les deux vulnérabilités (officieusement appelés Connectez-vous) devraient être disponibles dans la semaine du 22 janvier.
L’analyse des attaques par Mandiant a révélé la présence de cinq familles de logiciels malveillants personnalisés différents, outre l’injection de code malveillant dans des fichiers légitimes au sein d’ICS et l’utilisation d’autres outils légitimes tels que OccupéBox et PySoxy pour faciliter l’activité ultérieure.
« En raison du fait que certaines sections de l’appareil sont en lecture seule, UNC5221 a exploité un script Perl (sessionserver.pl) pour remonter le système de fichiers en lecture/écriture et permettre le déploiement de THINSPOOL, un dropper de script shell qui écrit le shell Web LIGHTWIRE sur un fichier Connect Secure légitime et d’autres outils de suivi », a déclaré la société.
LIGHTWIRE est l’un des deux shells Web, l’autre étant WIREFIRE, qui sont des « points d’ancrage légers » conçus pour garantir un accès à distance persistant aux appareils compromis. Alors que LIGHTWIRE est écrit en Perl CGI, WIREFIRE est implémenté en Python.
Sont également utilisés dans les attaques un voleur d’informations d’identification basé sur JavaScript appelé WARPWIRE et une porte dérobée passive nommée ZIPLINE qui est capable de télécharger/télécharger des fichiers, d’établir un shell inversé, de créer un serveur proxy et de configurer un serveur de tunneling pour répartir le trafic entre plusieurs points de terminaison. .
« Cela indique qu’il ne s’agit pas d’attaques opportunistes et que l’UNC5221 avait l’intention de maintenir sa présence sur un sous-ensemble de cibles hautement prioritaires qu’il a compromises après la publication inévitable d’un correctif », a ajouté Mandiant.
UNC5221 n’a été lié à aucun groupe connu ou à un pays particulier, bien que le ciblage des infrastructures de pointe en militarisant les failles du jour zéro et en utilisant une infrastructure de commandement et de contrôle (C2) compromise pour contourner la détection porte toutes les caractéristiques d’un menace persistante avancée (APT).
« L’activité de l’UNC5221 démontre que l’exploitation et la vie à la périphérie des réseaux restent une cible viable et attractive pour les acteurs de l’espionnage », a déclaré Mandiant.