Au moins deux groupes de cyberespionnage soup\u00e7onn\u00e9s d’\u00eatre li\u00e9s \u00e0 la Chine, identifi\u00e9s comme UNC5325<\/strong> et UNC3886<\/strong>ont \u00e9t\u00e9 attribu\u00e9es \u00e0 l’exploitation de failles de s\u00e9curit\u00e9 dans les appliances Ivanti Connect Secure VPN.<\/p>\n UNC5325 a abus\u00e9 du CVE-2024-21893 pour diffuser une large gamme de nouveaux logiciels malveillants appel\u00e9s LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET et PITHOOK, et a \u00e9galement tent\u00e9 de maintenir un acc\u00e8s persistant aux appareils compromis, a d\u00e9clar\u00e9 Mandiant.<\/p>\n La soci\u00e9t\u00e9 de renseignement sur les menaces appartenant \u00e0 Google a \u00e9valu\u00e9 avec une confiance mod\u00e9r\u00e9e que UNC5325 est associ\u00e9 \u00e0 UNC3886 en raison de chevauchements de code source dans LITTLELAMB.WOOLTEA et PITHOOK avec des logiciels malveillants utilis\u00e9s par ce dernier.<\/p>\n Il convient de souligner que l’UNC3886 a l’habitude d’exploiter les failles zero-day des solutions Fortinet et VMware pour d\u00e9ployer une vari\u00e9t\u00e9 d’implants tels que VIRTUALPITA, VIRTUALPIE, THINCRUST et CASTLETAP.<\/p>\n “UNC3886 a principalement cibl\u00e9 la base industrielle de d\u00e9fense, les organisations de technologie et de t\u00e9l\u00e9communications situ\u00e9es aux \u00c9tats-Unis et [Asia-Pacific] r\u00e9gions”, chercheurs Mandiant dit<\/a>.<\/p>\n L’exploitation active de CVE-2024-21893 \u2013 une vuln\u00e9rabilit\u00e9 de falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) dans le composant SAML d’Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons pour ZTA \u2013 par UNC5325 aurait eu lieu d\u00e8s janvier. 19\u00a0h\u00a02024, ciblant un nombre limit\u00e9 d\u2019appareils.<\/p>\n La cha\u00eene d’attaque implique de combiner CVE-2024-21893 avec une vuln\u00e9rabilit\u00e9 d’injection de commande pr\u00e9c\u00e9demment divulgu\u00e9e et suivie comme CVE-2024-21887 pour obtenir un acc\u00e8s non autoris\u00e9 aux appareils sensibles, conduisant finalement au d\u00e9ploiement d’une nouvelle version de BUSHWALK.<\/p>\n Certains cas impliquent \u00e9galement une utilisation abusive de composants Ivanti l\u00e9gitimes, tels que les plug-ins SparkGateway, pour supprimer des charges utiles suppl\u00e9mentaires. Cela inclut le plugin PITFUEL pour charger un objet partag\u00e9 malveillant nomm\u00e9 LITTLELAMB.WOOLTEA, dot\u00e9 de fonctionnalit\u00e9s permettant de persister lors des \u00e9v\u00e9nements de mise \u00e0 niveau du syst\u00e8me, des correctifs et des r\u00e9initialisations d’usine.<\/p>\n \u00ab Bien que les tentatives limit\u00e9es observ\u00e9es pour maintenir la persistance n’aient pas abouti jusqu’\u00e0 pr\u00e9sent en raison d’un manque de logique dans le code du malware pour tenir compte d’une incompatibilit\u00e9 de cl\u00e9 de chiffrement, cela d\u00e9montre en outre jusqu’o\u00f9 l’UNC5325 sera pr\u00eat \u00e0 maintenir l’acc\u00e8s aux cibles prioritaires et met en \u00e9vidence le Il est important de garantir que les appareils r\u00e9seau disposent des derni\u00e8res mises \u00e0 jour et correctifs \u00bb, a soulign\u00e9 la soci\u00e9t\u00e9.<\/p>\n Il agit en outre comme une porte d\u00e9rob\u00e9e qui prend en charge l’ex\u00e9cution de commandes, la gestion de fichiers, la cr\u00e9ation de shell, le proxy SOCKS et le tunneling du trafic r\u00e9seau.<\/p>\n On a \u00e9galement observ\u00e9 un autre plugin SparkGateway malveillant baptis\u00e9 PITDOG qui injecte un objet partag\u00e9 appel\u00e9 PITHOOK afin d’ex\u00e9cuter de mani\u00e8re persistante un implant appel\u00e9 PITSTOP con\u00e7u pour l’ex\u00e9cution de commandes shell, l’\u00e9criture et la lecture de fichiers sur l’appliance compromise.<\/p>\n Mandiant a d\u00e9crit l’acteur mena\u00e7ant comme ayant d\u00e9montr\u00e9 une \u00ab compr\u00e9hension nuanc\u00e9e de l’appareil et sa capacit\u00e9 \u00e0 contourner la d\u00e9tection tout au long de cette campagne \u00bb et comme ayant utilis\u00e9 des techniques de vie hors du terrain (LotL) pour passer inaper\u00e7u.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 qu’elle s’attend \u00e0 ce que “UNC5325 ainsi que d’autres acteurs de l’espionnage li\u00e9s \u00e0 la Chine continuent d’exploiter les vuln\u00e9rabilit\u00e9s Zero Day sur les appareils en p\u00e9riph\u00e9rie du r\u00e9seau ainsi que les logiciels malveillants sp\u00e9cifiques aux appareils pour obtenir et maintenir l’acc\u00e8s aux environnements cibles”.<\/p>\n La divulgation intervient alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 industrielle Dragos attribu\u00e9<\/a> Volt Typhoon (alias Voltzite) parrain\u00e9 par la Chine pour des activit\u00e9s de reconnaissance et de d\u00e9nombrement visant plusieurs soci\u00e9t\u00e9s \u00e9lectriques, services d’urgence, fournisseurs de t\u00e9l\u00e9communications, bases industrielles de d\u00e9fense et services par satellite bas\u00e9s aux \u00c9tats-Unis.<\/p>\n “Les actions de Voltzite envers les entit\u00e9s \u00e9lectriques, les t\u00e9l\u00e9communications et les syst\u00e8mes SIG am\u00e9ricains signifient des objectifs clairs pour identifier les vuln\u00e9rabilit\u00e9s au sein des infrastructures critiques du pays qui peuvent \u00eatre exploit\u00e9es \u00e0 l’avenir par des cyberattaques destructrices ou perturbatrices”, a-t-il d\u00e9clar\u00e9.<\/p>\n L’empreinte victimologique de Volt Typhoon s’est depuis \u00e9tendue pour inclure les fournisseurs africains de transport et de distribution d’\u00e9lectricit\u00e9, avec des preuves reliant l’adversaire \u00e0 UTA0178, un groupe d’activit\u00e9s mena\u00e7antes li\u00e9 \u00e0 l’exploitation zero-day des failles d’Ivanti Connect Secure d\u00e9but d\u00e9cembre 2023.<\/p>\n L’acteur du cyberespionnage, qui s’appuie fortement sur les m\u00e9thodes LotL pour contourner la d\u00e9tection, rejoint<\/a> deux autres nouveaux groupes, \u00e0 savoir Gananite et Laurionite, apparus en 2023, menant des op\u00e9rations de reconnaissance et de vol de propri\u00e9t\u00e9 intellectuelle \u00e0 long terme ciblant des infrastructures critiques et des entit\u00e9s gouvernementales.<\/p>\n “Voltzite utilise tr\u00e8s peu d’outillage et pr\u00e9f\u00e8re mener ses op\u00e9rations avec le moins d’empreinte possible”, a expliqu\u00e9 Dragos. “Voltzite se concentre fortement sur l’\u00e9vasion de la d\u00e9tection et l’acc\u00e8s persistant \u00e0 long terme avec l’intention \u00e9valu\u00e9e d’espionnage \u00e0 long terme et d’exfiltration de donn\u00e9es.”<\/p>\n (L’histoire a \u00e9t\u00e9 mise \u00e0 jour apr\u00e8s publication pour souligner que les tentatives de persistance sur les appliances VPN ont \u00e9chou\u00e9.)<\/em><\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Des-pirates-chinois-exploitent-les-failles-dIvanti-VPN-pour-deployer.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\nLiens trouv\u00e9s entre Volt Typhoon et UTA0178<\/h3>\n
<\/a><\/center><\/div>\n<\/a><\/div>\n