En az iki farklı şüpheli Çin bağlantılı siber casusluk kümesi UNC5325 Ve UNC3886Ivanti Connect Secure VPN cihazlarındaki güvenlik kusurlarının kötüye kullanılmasıyla ilişkilendirildi.
Mandiant, UNC5325’in CVE-2024-21893’ü LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET ve PITHOOK adlı geniş bir yelpazedeki yeni kötü amaçlı yazılımları sunmak ve güvenliği ihlal edilmiş cihazlara kalıcı erişimi sürdürmek için kötüye kullandığını söyledi.
Google’ın sahibi olduğu tehdit istihbarat firması, LITTLELAMB.WOOLTEA ve PITHOOK’taki kaynak kodu çakışmaları ve ikincisi tarafından kullanılan kötü amaçlı yazılımlar nedeniyle UNC5325’in UNC3886 ile ilişkili olduğunu orta düzeyde bir güvenle değerlendirdi.
UNC3886’nın, VIRTUALPITA, VIRTUALPIE, THINCRUST ve CASTLETAP gibi çeşitli implantları dağıtmak için Fortinet ve VMware çözümlerindeki sıfır gün kusurlarından yararlanma konusunda bir geçmişi olduğunu belirtmekte fayda var.
“UNC3886 öncelikle ABD’de bulunan savunma sanayii üssünü, teknolojisini ve telekomünikasyon kuruluşlarını hedef aldı ve [Asia-Pacific] Mandiant araştırmacıları, “Bölgeler” dedi.
Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for ZTA’nın SAML bileşenindeki bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olan CVE-2024-21893’ün UNC5325 tarafından aktif olarak istismarının Ocak ayı başlarında gerçekleştiği söyleniyor 19 Kasım 2024, sınırlı sayıda cihazı hedefliyor.
Saldırı zinciri, duyarlı cihazlara yetkisiz erişim elde etmek için CVE-2024-21893’ü daha önce açıklanan ve CVE-2024-21887 olarak takip edilen bir komut ekleme güvenlik açığıyla birleştirmeyi ve sonuçta BUSHWALK’ın yeni bir sürümünün konuşlandırılmasına yol açmayı içeriyor.
Bazı örneklerde SparkGateway eklentileri gibi meşru Ivanti bileşenlerinin ek yükleri düşürmek için kötüye kullanılması da yer alıyor. Buna, sistem yükseltme olayları, yamalar ve fabrika sıfırlamaları boyunca kalıcı olma yetenekleriyle birlikte gelen, LITTLELAMB.WOOLTEA kod adlı kötü amaçlı bir paylaşılan nesneyi yüklemek için PITFUEL eklentisi de dahildir.
Ayrıca komut yürütmeyi, dosya yönetimini, kabuk oluşturmayı, SOCKS proxy’sini ve ağ trafiği tünellemesini destekleyen bir arka kapı görevi görür.
Ayrıca, güvenliği ihlal edilmiş cihazda kabuk komutlarının yürütülmesi, dosya yazılması ve dosya okunması için tasarlanmış, PITSTOP olarak adlandırılan bir implantı kalıcı olarak yürütmek amacıyla PITHOOK olarak bilinen paylaşılan bir nesneyi enjekte eden PITDOG adlı başka bir kötü amaçlı SparkGateway eklentisi de gözlemlendi.
Mandiant, tehdit aktörünün “cihaz hakkında incelikli bir anlayışa sahip olduğunu ve bu kampanya boyunca algılamayı bozma yeteneklerini” sergilediğini ve radarın altından uçmak için karada yaşama (LotL) tekniklerini kullandığını belirtti.
Siber güvenlik firması, “UNC5325’in ve diğer Çin bağlantı noktası casusluk aktörlerinin, hedef ortamlara erişim kazanmak ve bu erişimi sürdürmek için ağ uç cihazlarındaki sıfır gün güvenlik açıklarından ve cihaza özel kötü amaçlı yazılımlardan yararlanmaya devam etmesini” beklediğini söyledi.
Volt Typhoon ve UTA0178 Arasında Bağlantılar Bulundu
Açıklama, endüstriyel siber güvenlik şirketi Dragos’un Çin sponsorluğundaki Volt Typhoon’u (diğer adıyla Voltzite) ABD merkezli çok sayıda elektrik şirketine, acil servislere, telekomünikasyon sağlayıcılarına, savunma sanayi üslerine ve uydu hizmetlerine yönelik keşif ve sayım faaliyetlerine atfetmesiyle geldi.
“Voltzite’ın ABD elektrik kuruluşlarına, telekomünikasyona ve GIS sistemlerine yönelik eylemleri, ülkenin kritik altyapısında gelecekte yıkıcı veya yıkıcı siber saldırılarla kullanılabilecek güvenlik açıklarını belirlemeye yönelik açık hedeflere işaret ediyor” dedi.
Volt Typhoon’un mağduriyet ayak izi o zamandan beri Afrikalı elektrik iletim ve dağıtım sağlayıcılarını da kapsayacak şekilde genişledi ve düşmanı Aralık 2023’ün başlarında Ivanti Connect Secure kusurlarının sıfır gün istismarıyla bağlantılı bir tehdit faaliyet grubu olan UTA0178’e bağlayan kanıtlar var.
Tespiti atlatmak için ağırlıklı olarak LotL yöntemlerine dayanan siber casusluk aktörü, 2023’te ortaya çıkan Gananite ve Laurionite adlı diğer iki yeni gruba katılarak kritik altyapıları ve devlet kurumlarını hedef alan uzun vadeli keşif ve fikri mülkiyet hırsızlığı operasyonları yürütüyor.
Dragos, “Voltzite çok az alet kullanıyor ve operasyonlarını mümkün olduğunca az yer kaplayarak yürütmeyi tercih ediyor” diye açıkladı. “Voltzite, uzun vadeli casusluk ve veri sızdırma niyetiyle tespitten kaçınmaya ve uzun vadeli kalıcı erişime yoğun bir şekilde odaklanıyor.”