Mandiant olay müdahale ekiplerine ve tehdit avcılarına göre, çeşitli kuruluşlara sızmak için Ivanti Connect Secure VPN kusurlarından yararlanan Çin devleti destekli şüpheli bilgisayar korsanları, “cihaz hakkında incelikli bir anlayış” sergiledi.
Cihazda bir takım değişiklikler yapabildiler ve sistem yükseltmeleri, yamalar ve fabrika ayarlarına sıfırlamalarda kalıcılık sağlamayı amaçlayan özel kötü amaçlı yazılımlar ve eklentiler dağıtabildiler.
“Kötü amaçlı yazılımın kodundaki bir şifreleme anahtarı uyumsuzluğunu hesaba katacak mantık eksikliği nedeniyle kalıcılığı sürdürmek için gözlemlenen sınırlı girişimler bugüne kadar başarılı olmamış olsa da, UNC5325 uzunluklarını da gösteriyor. [one of the threat groups] Mandiant’ın uzmanları, öncelikli hedeflere erişimi sürdürmeyi sürdürecek ve ağ cihazlarının en son güncellemelere ve yamalara sahip olmasını sağlamanın önemini vurgulayacak” dedi.
Özel hazırlanmış kötü amaçlı yazılımlar ve eklentiler
Mandiant’ın güvenlik uzmanları, çeşitli Ivanti Connect Secure kusurlarından yararlanılmasıyla başlayan son saldırılardan bazılarının arkasında iki ayrı (ancak muhtemelen bağlantılı) tehdit grubunun (UNC5325 ve UNC3886) olduğuna inandıklarını söyledi. İki grubun Çinli siber casusluk operatörleri olduğuna inanıyorlar.
Saldırılarla ilgili en ilginç şey, önceden bilinmeyen (yani sıfır gün) güvenlik açıklarından yararlanılması ve bunları düzeltmek için kullanılan hafifletici önlemlerin atlanması değil, kurumsal savunucuların tüm müdahalelerine rağmen saldırganların hedeflenen cihazlarda kalıcılığı sağlamak için kullandığı özel bilgidir. çabalar.
Araştırmacılara göre UNC5325, tespit edilmekten kaçınmak için arazide yaşama tekniklerini (LotL’ler) kullanıyor ve cihazdaki yerini kalıcı kılmak için yeni kötü amaçlı yazılımlar (LITTLELAMB.WOOLTEA) ve arka kapılar kullanmaya çalışıyor.
Saldırganlar, savunmasız cihazları tespit etmek için halka açık hizmetleri (örneğin Interactsh) kullandı ve bunlara ters kabuklar ve web kabukları yerleştirdi.
“BUSHWALK’a izin veren bir teknik belirledik [a web shell] Ivanti ürünlerine özgü yerleşik sistem yardımcı programlarını kullanarak bir Perl modülünü ve LotL tekniğini yaratıcı bir şekilde değiştirerek, fark edilmeden hareketsiz durumda kalmak” diye paylaştılar.
BUSHWALK’un şifrelenmiş versiyonlarının “dinamik bir dizinde hareketsiz kaldığını ve bu nedenle bütünlük kontrol aracı tarafından taranmadığını” buldular. (Salı günü Ivanti, müşterilere cihazlarının şifresi çözülmüş anlık görüntüsünü sağlayan gelişmiş bir harici bütünlük kontrol aracı da yayınladı.)
Bazı durumlarda saldırganlar, CVE-2024-21893’ten yararlandıktan sonra, Ivanti Connect Secure cihazının yasal bir bileşeni olan SparkGateway eklentilerini kullanarak yapılandırma dosyasını değiştirdi, paylaşılan nesneleri enjekte etti ve sistem yükseltme olayları, yamalar, ve fabrika ayarlarına sıfırlanır.
Araştırmacılar, “Ivanti sıfır günlerinin sömürülmesi muhtemelen çok sayıda cihazı etkiledi” dedi.
“Etkinliğin büyük bir kısmı otomatikleştirilmiş olsa da, saldırganın taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında daha fazla bilgi sağlayan daha küçük bir takip faaliyeti alt kümesi de mevcut. Mandiant, operasyonlarını mümkün kılmak için ek aktörlerin muhtemelen bu güvenlik açıklarından yararlanmaya başlayacağını değerlendiriyor.”
Bilgisayar korsanları diğer kurumsal VPN cihazlarına saldırıyor
Devlet destekli bilgisayar korsanlığı gruplarının kuruluşlara nüfuz edebilmek için uç cihazlardan taviz vermesi yeni bir haber değil, ancak hedef cihazları baştan aşağı bildikleri giderek daha açık hale geliyor.
Hollanda istihbarat servisleri bu ayın başlarında, Çin devleti destekli bilgisayar korsanlarının 2023’te Hollanda Savunma Bakanlığı’nı ihlal ettiğini ve Fortinet’in FortiGate (yerleşik VPN’li güvenlik duvarı) cihazları için özel olarak oluşturulmuş yeni bir uzaktan erişim truva atı yerleştirdiğini bildirdi.
Coathanger olarak adlandırılan söz konusu RAT, aynı zamanda yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden de kurtulabiliyor.