Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
UNC5325, Fabrika Sıfırlamalarına ve Yamalara Rağmen Saldırıya Uğrayan Cihazlarda Kalabilir
Sayın Mihir (MihirBagwe) •
28 Şubat 2024
Çinli tehdit aktörleri, fabrika sıfırlamaları, sistem yükseltmeleri ve yamalardan sonra bile son Ivanti Connect Secure VPN güvenlik açığından yararlanmaya devam ediyor. Tehdit istihbarat firması Mandiant, tehdit aktörü UNC5325’in “toprakla geçinme” tekniklerinde usta olduğu konusunda uyardı.
Ayrıca bakınız: Gartner 2023 Öngörüsü: İşletmeler Tehdit Yönetiminden Maruziyet Yönetimine Genişlemeli
Mandiant, UNC5325’in kalıcılığı korumak için LittleLamb.WooLTea gibi yeni kötü amaçlı yazılımları nasıl kullandığını açıklayan bir rapor yayınladı.
Ivanti, ZTA cihazları için Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons’un SAML bileşenindeki sunucu tarafı istek sahteciliği güvenlik açığı olan CVE-2024-21893 dahil olmak üzere 10 Ocak’tan bu yana görülen beş güvenlik açığını açıkladı. Ivanti’ye göre, UNC5325 tarafından istismar edilen hata, saldırganların kimlik doğrulaması olmadan belirli kısıtlı kaynaklara erişmesine olanak tanıyor.
Mandiant, UNC5325 ve UNC3886 operatörleri arasında taktikler, teknikler ve prosedürlerdeki örtüşmeleri öne sürerek bağlantılar kurdu. UNC3886, bu güvenlik açıklarını öncelikle ABD ve Asya-Pasifik bölgesinde bulunan savunma sanayi üssünü, teknoloji ve telekomünikasyon kuruluşlarını hedeflemek için kullanan şüpheli bir Çinli casusluk operatörüdür.
Mandiant, saldırganların rastgele dosyaları okumak ve yaratıcı değişiklikler yoluyla algılamayı engellemek için BushWalk web kabuğunun incelikli bir versiyonunu kullandığını söyledi.
Saldırganlar ayrıca arka kapıları dağıtmak için SparkGateway eklentileri gibi meşru bileşenleri de kötüye kullanarak ele geçirilen sistemlere erişimlerini genişletti. Paylaşılan nesneleri SparkGateway bileşenine enjekte eden tehdit aktörleri, daha fazla istismar için bir yol oluşturarak, sistemleri fark edilmeden manipüle etmelerine olanak tanıdı.
Grup, sistemin veri yedekleme mekanizmasını manipüle etti ve kötü amaçlı kodu gizlice güncellenen sisteme yerleştirmek için yükseltmeler sırasında eylemlerini zamanladı.
Tehdit aktörleri ayrıca cihazın donanımını analiz ederek ve ardından fabrika sıfırlama işlemini değiştirerek fabrika ayarlarına sıfırlama işlemine devam etmeyi başardılar. Saldırganlar, kritik ikili dosyaları yeniden adlandırarak ve sıfırlama prosedüründeki koşullardan yararlanarak bileşenlerinin korunmasını ve sıfırlama tamamlandıktan sonra yeniden etkinleştirilmeye hazır olmasını sağladı.
Mandiant, “UNC5325, hem kullandıkları kötü amaçlı yazılımlarda hem de fabrika ayarlarına sıfırlamalarda devam etme girişimlerinde görüldüğü gibi Ivanti Connect Secure cihazı hakkında önemli bilgi birikimine sahip olduğunu gösteriyor” dedi. Siber güvenlik firması, UNC5325 ve diğer Çinli casusluk aktörlerinin, hedef ortamlara erişim sağlamak ve bu erişimi sürdürmek için ağ uç cihazlarındaki sıfır gün güvenlik açıklarının yanı sıra cihaza özel kötü amaçlı yazılımları ısrarla kullanacaklarını öngörüyor.