0day в Ivanti позволила Китаю развернуть бэкдоры в сетях компаний
Уязвимость в VPN-устройствах позволила развернуть сразу 5 вредоносных программ.
Как минимум 5 различных вредоносных программ были использованы предположительно правительственными хакерами для получения доступа к сетям компаний через Zero-Day уязвимости в VPN-устройствах Ivanti Connect Secure (ICS). Атаки происходили с начала декабря 2023 года.
По данным компании Mandiant, группировка UNC5221 использовала вредоносные программы для обхода систем аутентификации и получения скрытого доступа к устройствам. Для взлома уязвимых устройств хакеры применяли цепочку эксплойтов, включающую уязвимость обхода аутентификации (CVE-2023-46805) и уязвимость внедрения кода (CVE-2024-21887), обнаруженных в продуктах Ivanti Connect Secure и Policy Secure.
Компания Volexity, которая приписала эту деятельность китайской шпионской группе UTA0178, ранее объясняла, что уязвимости позволяют получить первоначальный доступ, установить веб-шеллы, внедрить бэкдоры в легитимные файлы, собрать учетные данные и файлы конфигурации, а также проникнуть глубже во внутренние сети жертв.
Согласно заявлению Ivanti, атаке подверглись менее 10 клиентов, что указывает на целевой характер кампании. Ожидается, что исправления для двух уязвимостей (неофициально названных ConnectAround исследователем безопасности Кевином Бьюмонтом) появятся на следующей неделе.
Анализ Mandiant показал, что злоумышленники использовали 5 различных вредоносных программ. Они также внедряли вредоносный код в легитимные файлы в системах ICS и применяли такие инструменты, как BusyBox (набор UNIX-утилит командной строки) и PySoxy (прокси-сервер SOCKS5).
Эксперты отмечают, что из-за особенностей файловой системы некоторых устройств, хакеры использовали Perl-скрипт для изменения прав доступа и развертывания вредоносных программ. Основными инструментами для сохранения доступа ко взломанным системам стали веб-шеллы LIGHTWIRE и WIREFIRE. Также применялся вредонос WARPWIRE на базе JavaScript для сбора учетных данных и бэкдор ZIPLINE, который способен загружать/выгружать файлы, устанавливать Reverse Shell, создавать прокси-сервер и настраивать тунелирование сети для распределения трафика между несколькими конечными точками.
Хотя UNC5221 пока не связана ни с одной известной группировкой, методы группы указывают на продвинутую постоянную угрозу. Использование уязвимостей нулевого дня и скрытой инфраструктуры характерно для правительственных хакеров. Деятельность UNC5221 демонстрирует, что атака периметра сетей остается привлекательной целью для шпионских группировок.
Ваша приватность умирает красиво, но мы можем спасти её.