Dalış Özeti:
- Ivanti Connect Secure VPN’in bir ay boyunca istismar edilmesinin ardındaki tehdit aktörü, cihazlara sürekli erişimi sürdürmek amacıyla özel kötü amaçlı yazılım kullanarak bir casusluk kampanyası yürütüyor. Perşembe günü Google Cloud Mandiant tarafından yayınlanan araştırma birim.
- Çok sayıda şüpheli APT aktörü, istismar sonrası tehdit faaliyetlerine girişmek ve tespitten kaçınmak için cihaza özel kötü amaçlı yazılımlarla benzer yöntemler kullandı. Ancak Mandiant araştırmacıları, şu anda bu kesin aktivitenin bilinen bir aktörle bağlantılı olmadığını ve henüz kökenini belirlemek için yeterli bilgiye sahip olmadıklarını söyledi.
- Mandiant ayrıca kuruluşlara yönelik saldırıların Aralık ayı başlarına kadar uzandığını da gözlemledi. Saldırılarla birleştirildiğinde Volexity halihazırda gözlendiği üzere, şu ana kadar bilinen yaklaşık 10 kurban var. Ivanti dedi ki 20’den az kurbanın farkındadır.
Dalış Bilgisi:
Tanımlanamayan tehdit aktörü, Aralık ayının başından bu yana Ivanti Connect Secure VPN cihazlarındaki iki güvenlik açığından yararlanıyor. Bu güvenlik açıkları bir araya getirildiğinde, kimliği doğrulanmamış saldırganların uzaktan kod çalıştırmasına ve cihazları ele geçirmesine olanak tanır.
Bir kimlik doğrulama atlama güvenlik açığı şu şekilde izlenir: CVE-2023-46805ve şu şekilde izlenen bir komut yerleştirme güvenlik açığı: CVE-2024-21887CVSS skorları sırasıyla 8,2 ve 9,1’dir.
Dünya çapında 17.100’den fazla maruz kalan örnek var. Shadowserver’ın verilerine göre.
Volexity’ye göre saldırganlar şimdiye kadar uzak dosyaları indirdi, yapılandırma verilerini çaldı ve mevcut dosyaları değiştirdi.
Bilgisayar korsanları, komuta ve kontrol için güvenliği ihlal edilmiş, destek dışı Cyberoam VPN cihazlarından yararlanıyor. Cyberoam Technologies’in ana şirketi Sophos, cihazların 31 Mart 2021’den bu yana kullanım ömrünün sona erdiğini ve kullanıcıların cihazlarını ve donanım yazılımlarını yükseltmeleri gerektiğini söyledi.
Mandiant’a göre tehdit grubu, istismar sonrası çalışmalar için birden fazla özel kötü amaçlı yazılım ailesinin yanı sıra PySoxy tünel açıcı ve BusyBox’u kullanıyor.
Özel kötü amaçlı yazılım şunları içerir:
- Thinspool: Lightwire web kabuğunu yazmak için kullanılan ve Ivanti bütünlük denetleyicisinden kaçmaya çalışan ancak başarısız olan, kabuk komut dosyasıyla yazılmış bir damlalık.
- Lightwire: Perl CGI ile yazılmış ve meşru bir Secure Connect dosyasına yerleştirilmiş, isteğe bağlı komut yürütmeye olanak sağlayan bir web kabuğu.
- Wirefire: Python’da yazılmış ve güvenliği ihlal edilmiş bir cihaza indirmeyi ve rastgele komutları çalıştırmayı destekleyen bir web kabuğu.
- Warpwire: Javascript ile yazılmış bir kimlik bilgisi toplayıcı.
- Zipline: pasif bir arka kapı.
Mandiant, kuruluşlara, zaten tehlikeye atılıp atılmadıklarını belirlemek için Ivanti’den bir bütünlük denetleyicisi çalıştırmalarını ve ayrıca Azaltma adımlarını çalıştırın şirket tarafından önerildi.
Google Cloud Mandiant Consulting CTO’su Charles Carmikal, “Bilinen sıfır gün istismarı tek bir tehdit grubu tarafından gerçekleştirildi, ancak diğer tehdit aktörlerinin de istismar kodu geliştirip bunu çeşitli amaçlarla istismar etmesi muhtemeldir” dedi. e-posta yoluyla söyledi.
Ivanti, hafifletme adımları ve 22 Ocak haftasına kadar hazır olmayacak olan yamanın ilk sürümünün geliştirilmesi konusunda Mandiant ve hükümet yetkilileriyle istişarede bulunuyor. Son sürüm ise 19 Şubat haftasında yayınlanacak.