Çinli bir casusluk grubu, Ivanti’nin uç cihazlarında yamalar, yükseltmeler ve fabrika ayarlarına sıfırlamalardan sonra bile varlığını sürdürebilen kötü amaçlı yazılım geliştirmenin eşiğinde.
Yağmur yağdığında yağıyor ve Ivanti müşterileri için aylardır yağmur yağıyor. Şirketin açıklamasından bu yana geçen süre içinde iki yüksek riskli güvenlik açığı Connect Secure, Policy Secure ve Zero Trust Access (ZTA) ağ geçitlerini etkiliyor (bu noktada, vahşi ortamda erken kaydedilen istismarların üzerinden beş haftadan fazla zaman geçti), iki hata daha ortaya çıktı, ve sonra beşinci. Saldırganlar bu durumdan o kadar yararlandı ki, en azından ABD hükümeti içinde kurumlara kabloyu tamamen kesmeleri emredildi. Ivanti’nin ürünleri.
Bir zamanlar geciken yamalar nihayet Ocak ayının sonlarında yayınlanmaya başladı, ancak etkilenen müşteriler henüz sorundan kurtulmuş değil. Mandiant tarafından bu hafta yayınlanan araştırma Bu, üst düzey Çinli bilgisayar korsanlarının Ivanti’nin canını sıkmaya devam ettiğini, yeni ve daha gelişmiş izinsiz giriş, gizlilik ve kalıcılık yöntemleri geliştirdiğini gösteriyor.
Mandiant’ın UNC5325 olarak takip ettiği bir grup — ve UNC3886 ile ortaktır — müşterilerin savunmasını atlatmak için arazide yaşama (LotL) tekniklerini kullanıyor ve yamalara ve hatta tam sıfırlamalara rağmen güvenliği ihlal edilmiş cihazlarda varlığını sürdürebilecek kötü amaçlı yazılımlar geliştirmekten yalnızca bir kıl kadar uzakta.
UNC5325 Ivanti’ye Yönelik Tehdidi Artırdı
Ivanti’nin önlemleri saldırganları durdurmaya yetmedi.
UNC5325, Ocak ve Şubat ayları boyunca saldırılar gerçekleştiriyor ve cihazlarının Güvenlik Onaylama İşaretleme Dili (SAML) bileşenindeki sunucu tarafı istek sahteciliği (SSRF) güvenlik açığından yararlanarak şirketin hafifletici önlemlerini atlıyordu. Daha sonra etiketlendiği şekliyle CVE-2024-21893, CVSS ölçeğinde 10 üzerinden “yüksek” 8,2 puan aldı ve grubun bunu Ivanti’nin önceki komut enjeksiyon güvenlik açığı CVE-2024-21887 ile zincirlediği gözlemlendi.
Savunmasız cihazlara yönelik bu devam eden pencereyle grup, hedeflerine karşı keşif gerçekleştirdi, etkinliğini gizlemek için cihaz ayarlarını değiştirdi, aşağıdaki gibi açık kaynaklı araçlar kullandı: etkileşim Ve Kubo Enjektörve bir dizi özel arka kapı dağıttı: LittleLamb. WoolTea, PitStop, Pitdog, PitJet ve PitHook.
Bu araç ve önlemlerin bazıları, Ivanti Secure Connect’in meşru bir bileşenine yerleştirilen Perl tabanlı bir Web kabuğu UNC5325 olan Bushwalk’ta yerleşik gizlilik mekanizmaları gibi özellikle akıllıcaydı. İlk kez CVE-2024-21893’ün ilk açıklanmasından sadece birkaç saat sonra vahşi doğada keşfedildi.
Bilgisayar korsanları, Bushwalk’u gizlemek için onu cihazın Bütünlük Denetleyicisi Aracı (ICT) tarafından hariç tutulan bir klasöre yerleştiriyor ve gelen HTTP isteğinin kullanıcı aracısına bağlı olarak onu etkinleştirmelerini veya devre dışı bırakmalarını sağlayan bir Perl modülünü değiştiriyor. Bu son önlem, BİT’teki küçük bir tutarsızlıktan yararlanmalarına olanak tanır.
“Dahili ICT, varsayılan olarak iki saatlik aralıklarla çalışacak şekilde yapılandırılmıştır ve sürekli izlemeyle birlikte çalıştırılacak şekilde tasarlanmıştır. İki saatlik tarama aralıkları arasında yapılan ve geri alınan herhangi bir kötü amaçlı dosya sistemi değişikliği, ICT tarafından tespit edilmeden kalacaktır. Etkinleştirme ve devre dışı bırakma rutinleri hızlı bir şekilde arka arkaya gerçekleştirilir, etkinleştirme rutinini BUSHWALK web kabuğunun amaçlanan kullanımıyla tam olarak örtüşecek şekilde zamanlayarak BİT tespiti riskini en aza indirebilir,” diye açıkladı yazarlar.
Yaklaşan Kalıcılık Mekanizmaları
Ivanti müşterilerini tehdit eden en büyük hayalet, UNC5325’in ısrarla yaptığı son deneylerdir.
CVE-2024-21893’ün kötüye kullanılmasının ardından nadir durumlarda grup, Connect Secure’un “SparkGateway” adlı meşru bir bileşenini silah haline getirmeye çalıştı. SparkGateway, bir tarayıcı üzerinden uzaktan erişim protokollerine olanak tanır ve daha da önemlisi, işlevselliği eklentiler aracılığıyla genişletilebilir.
Bu durumda, kötü amaçlı eklentiler. Örneğin Pitfuel, grubun LittleLamb.WoolTea paylaşılan nesnesini yüklemek için kullandığı bir SparkGateway eklentisidir ve görevi arka kapıları dağıtmaktır. LittleLamb.WoolTea, cihazın arka planında tutarlı bir şekilde çalışacak şekilde kendisini daemonize eder ve sistem yükseltmeleri, yamalar ve fabrika ayarlarına sıfırlamalarda kalıcılığı sağlamak için tasarlanmış birden fazla işlev ve bileşen içerir.
Henüz kötü amaçlı yazılım, şifreleme anahtarlarının eşleşmemesiyle ilgili basit bir hata nedeniyle bunu başaramıyor.
Çinli tehdit aktörleri Ivanti’deki güvenlik açıklarına ilgi göstermeye devam ettiğinden Mandiant, müşterilerini “eğer henüz yapmamışlarsa koruma sağlamak için derhal harekete geçmeye” çağırıyor. Bu en son kalıcılık girişimlerini tespit etmeye yardımcı olabilecek yeni bir BİT sürümü artık mevcut.