Aralık 2023’ün başından bu yana Ivanti Connect Secure (ICS) VPN cihazlarındaki iki sıfır gün güvenlik açığından yararlanan istismar sonrası faaliyetlerin bir parçası olarak şüpheli ulus devlet aktörleri tarafından beş kadar farklı kötü amaçlı yazılım ailesi kullanıldı.
Bu hafta yayınlanan bir analizde Mandiant, “Bu aileler, tehdit aktörlerinin kimlik doğrulamayı atlatmasına ve bu cihazlara arka kapı erişimi sağlamasına olanak tanıyor” dedi. Google’ın sahibi olduğu tehdit istihbarat firması, tehdit aktörünü bu isim altında takip ediyor UNC5221.
Saldırılar, duyarlı örnekleri ele geçirmek için kimlik doğrulama atlama hatası (CVE-2023-46805) ve kod ekleme güvenlik açığından (CVE-2024-21887) oluşan bir yararlanma zincirinden yararlanıyor.
Faaliyeti UTA0178 adlı şüpheli bir Çinli casusluk aktörüne bağlayan Volexity, ikiz kusurların ilk erişim elde etmek, web kabuklarını dağıtmak, meşru arka kapı dosyalarını dağıtmak, kimlik bilgilerini ve yapılandırma verilerini yakalamak ve kurban ortamına daha fazla dönmek için kullanıldığını söyledi.
Ivanti’ye göre izinsiz girişler 10’dan az müşteriyi etkiledi, bu da bunun yüksek hedefli bir kampanya olabileceğini gösteriyor. İki güvenlik açığına yönelik yamaların (gayri resmi olarak ConnectAround olarak adlandırılıyor) 22 Ocak haftasında kullanıma sunulması bekleniyor.
Mandiant’ın saldırılara ilişkin analizi, ICS içindeki meşru dosyalara kötü amaçlı kod yerleştirmenin ve daha sonraki etkinlikleri kolaylaştırmak için BusyBox ve PySoxy gibi diğer meşru araçların kullanılmasının yanı sıra, beş farklı özel kötü amaçlı yazılım ailesinin varlığını ortaya çıkardı.
“Cihazın belirli bölümlerinin salt okunur olması nedeniyle, UNC5221, dosya sistemini okuma/yazma olarak yeniden bağlamak ve LIGHTWIRE web kabuğunu bir sunucuya yazan bir kabuk komut dosyası bırakıcısı olan THINSPOOL’un dağıtımını etkinleştirmek için bir Perl komut dosyasından (sessionserver.pl) yararlandı. Şirket, meşru Connect Secure dosyasının ve diğer takip araçlarının çalındığını belirtti.
LIGHTWIRE, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak için tasarlanmış “hafif dayanaklar” olan WIREFIRE olmak üzere iki web kabuğundan biridir. LIGHTWIRE Perl CGI’da yazılırken WIREFIRE Python’da uygulanır.
Saldırılarda ayrıca WARPWIRE adı verilen JavaScript tabanlı bir kimlik bilgisi hırsızı ve dosyaları indirme/yükleme, ters kabuk oluşturma, proxy sunucu oluşturma ve trafiği birden fazla uç nokta arasında dağıtmak için bir tünel oluşturma sunucusu kurma yeteneğine sahip ZIPLINE adlı pasif bir arka kapı da kullanıldı. .
Mandiant, “Bu, bunların fırsatçı saldırılar olmadığını ve UNC5221’in, kaçınılmaz olarak bir yama yayınlandıktan sonra tehlikeye attığı yüksek öncelikli hedeflerin bir alt kümesindeki varlığını sürdürmeyi amaçladığını gösteriyor” diye ekledi.
UNC5221, önceden bilinen herhangi bir grupla veya belirli bir ülkeyle bağlantılı olmasa da, sıfır gün kusurlarını silah haline getirerek uç altyapının hedeflenmesi ve tespitin atlanması için komuta ve kontrol (C2) altyapısının kullanılması, bir terör örgütünün tüm işaretlerini taşıyor. gelişmiş kalıcı tehdit (APT).
Mandiant, “UNC5221’in faaliyeti, ağları istismar etmenin ve ağların sınırında yaşamanın casusluk aktörleri için geçerli ve çekici bir hedef olmaya devam ettiğini gösteriyor” dedi.