Dalış Özeti:
- Perşembe günü yayınlanan araştırmada Mandiant, Ivanti Connect Secure cihazlarının önceden düşünülenden daha fazla tehdit grubu tarafından istismar edildiğini ve tehlikeye atıldığını söyledi..
- Mandiant tarafından gözlemlenen istismar sonrası faaliyetler, açık kaynak araçların ve birden fazla özel kötü amaçlı yazılım ailesinin yardımıyla yanal hareketi içermektedir.
- Mandiant, Ivanti’nin güvenlik açıklarından birinin veya daha fazlasının istismarına karışan sekiz ayrı kümenin gözlemlendiğini söyledi CVE-2023-46805, CVE-2024-21887 Ve CVE-2024-21893Satıcı bunu ilk kez 10 Ocak’ta açıkladı. Bunlar arasında Çin bağlantılı beş casusluk grubu ve mali motivasyonlu üç saldırgan yer alıyor.
Dalış Bilgisi:
Olaylara müdahale ve kurtarma konusunda Ivanti ve bazı müşterileriyle birlikte çalışan Mandiant, Ivanti bağlantılı saldırılara ilişkin son araştırmasını Ivanti CEO’su Jeff Abbott’un kamuoyuna açıklanmasından bir gün sonra yayınladı. şirketin iç güvenlik uygulamalarını elden geçirme sözü verdi.
Ivanti’nin bir sözcüsü e-posta yoluyla şunları söyledi: “Mandiant ile aktif olarak işbirliği yapıyoruz ve müşterilerimizin bu gelişen ve son derece karmaşık tehdit karşısında kendilerini korumalarına olanak tanıyan bulguları memnuniyetle karşılıyoruz.”
Mandiant araştırması, Ivanti’deki güvenlik açıklarının daha önce rapor edilenden daha fazla casusluk yapmayı veya finansal varlıkları çalmayı amaçlayan tehdit gruplarını cezbettiğini gösteriyor. Bulgular Mandiant’ın Şubat ayının sonundan bu yana yaptığı gözlemlere dayanıyordu, ancak faaliyetler Ocak ortasından Şubat ayına kadar gerçekleşti.
Mandiant blog yazısında, Çin bağlantılı olduğundan şüphelenilen saldırganların, hedeflerine ulaşmak için cihaza özgü işlevleri kötüye kullanarak Ivanti Connect Secure üzerindeki hakimiyetlerini ilerlettiklerini söyledi.
Mandiant, Şubat ayındaki bir dizi istismar girişimini UNC5291 olarak tanımladığı, aynı zamanda UNC5291 olarak da bilinen bir gruba bağladı. Volt Tayfunu. Araştırmacılar blogda “Mandiant, Volt Typhoon’un Ivanti Connect Secure’u başarılı bir şekilde tehlikeye attığını doğrudan gözlemlemedi” dedi.
Çin bağlantılı tehdit grubu, Citrix ürünlerinde kritik güvenlik açığı Aralık ayında var birden fazla kritik altyapı sektöründe izinsiz giren kuruluşlar yıkıcı saldırılara hazırlık olarak.
Mandiant’ın, UNC5221 olarak tanımladığı Çin bağlantılı başka bir casusluk grubu, CVE’ler bir ay sonra açıklanmadan önce, Aralık ayının başından itibaren bir çift Ivanti güvenlik açığından yararlandığı bilinen tek grup olmaya devam ediyor. Mandiant’a göre, Çin’e bağlı diğer üç casusluk grubu veya kümesi Ivanti VPN’lerinden yararlandı veya sömürü sonrası faaliyetler yürüttü.
Mandiant’taki araştırmacılar, finansal motivasyona sahip tehdit gruplarının Ivanti’nin başlangıçtaki bir çift sıfır gün güvenlik açığından yararlanmaya başladığına dair belirtiler de gözlemlediklerini söyledi. Mandiant, finansal motivasyona sahip saldırganların üçlüsünün büyük olasılıkla kripto para madenciliği ile ilgili operasyonları etkinleştirmeye çalıştığını söyledi.
Mandiant, Ivanti müşterilerine, Ivanti’nin Çarşamba günü açıkladığı dört yeni CVE de dahil olmak üzere tüm güvenlik açıkları için yeni bir yama ile birlikte Ivanti’nin 3 Nisan’da yayınladığı iç ve dış bütünlük kontrol aracını çalıştırmalarını tavsiye etti. Blog yazısı.