Google’ın sahibi olduğu Mandiant, Ivanti Connect Secure VPN ve Policy Secure cihazlarını hedef alan istismar sonrası faaliyetler sırasında UNC5221 olarak bilinen Çin bağlantılı bir casusluk tehdit aktörü ve diğer tehdit grupları tarafından kullanılan yeni kötü amaçlı yazılımların tespit edildiğini söyledi.
Buna BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE’ın bir çeşidi gibi özel web kabukları dahildir.
Şirket, bunu UNC5221’e atfederek, “CHAINLINE, Ivanti Connect Güvenli Python paketine yerleştirilmiş ve keyfi komut yürütmeye olanak tanıyan bir Python web kabuğu arka kapısıdır” dedi ve aynı zamanda JavaScript tabanlı bir kimlik bilgisi hırsızı olan WARPWIRE’ın birden fazla yeni sürümünü de tespit ettiğini ekledi. .
Enfeksiyon zincirleri, kimliği doğrulanmamış bir tehdit aktörünün Ivanti cihazında yükseltilmiş ayrıcalıklarla rastgele komutlar yürütmesine olanak tanıyan CVE-2023-46805 ve CVE-2024-21887’nin başarılı bir şekilde kullanılmasını gerektirir.
Kusurlar, Aralık 2023’ün başından bu yana sıfır gün olarak istismar ediliyor. Almanya Federal Bilgi Güvenliği Dairesi (BSI), ülkede “birden fazla güvenliği ihlal edilmiş sistemin” farkında olduğunu söyledi.
Perl’de yazılmış ve yüksek hedefli saldırılarda Ivanti tarafından sağlanan azaltımları atlatarak konuşlandırılan BUSHWALK, “querymanifest.cgi” adlı meşru bir Connect Secure dosyasına yerleştirilmiştir ve bir sunucuya dosya okuma veya dosya yazma yeteneği sunar.
Öte yandan, FRAMESTING, Ivanti Connect Güvenli Python paketine yerleştirilmiş bir Python web kabuğudur (aşağıdaki “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg yolunda bulunur) /cav/api/resources/category.py”) isteğe bağlı komut yürütmeye olanak tanır.
Mandiant’ın ZIPLINE pasif arka kapısına ilişkin analizi aynı zamanda “komuta ve kontrol (C2) oluşturmak için kullanılan özel protokolünün kimlik doğrulamasını sağlamak için kapsamlı işlevsellik” kullandığını da ortaya çıkardı.
Ayrıca saldırılar, ağ keşfi, yanal hareket ve kurban ortamlarında veri sızması da dahil olmak üzere Ivanti CS cihazlarında istismar sonrası faaliyetleri desteklemek için Impacket, CrackMapExec, iodine ve Enum4linux gibi açık kaynaklı yardımcı programların kullanılmasıyla karakterize ediliyor.
Ivanti o zamandan beri iki güvenlik açığını daha açıkladı: CVE-2024-21888 ve CVE-2024-21893; bunlardan ikincisi “sınırlı sayıda müşteriyi” hedef alarak aktif olarak istismar edildi. Şirket ayrıca dört güvenlik açığını gidermek için ilk düzeltme turunu yayınladı.
UNC5221’in, altyapısı ve araçlarının Çin merkezli casusluk aktörleriyle bağlantılı geçmiş saldırılarla örtüşmesiyle Çin için stratejik öneme sahip çok çeşitli endüstrileri hedef aldığı söyleniyor.
Mandiant, “Olay müdahale araştırmalarında tespit edilen Linux tabanlı araçlar, birden fazla Çince Github deposundan gelen kodları kullanıyor” dedi. “UNC5221, şüpheli ÇHC bağlantı noktası aktörleri tarafından uç altyapının sıfır gün kullanımıyla ilişkili TTP’lerden büyük ölçüde yararlandı.”