Несколько участников угрозы China-nexus были связаны с использованием в течение нулевого дня трех уязвимостей в системе безопасности, влияющих на устройства Ivanti (CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893).
Mandiant отслеживает кластеры под псевдонимами UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 и UNC5337. Еще одна группа, связанная с массовым использованием, - UNC3886.
Дочерняя компания Google Cloud заявила, что также наблюдала финансово мотивированных участников, использующих CVE-2023-46805 и CVE-2024-21887, вероятно, в попытке проводить операции по добыче криптовалюты.
"UNC5266 частично совпадает с UNC3569, шпионской компанией China nexus, которая, как было замечено, использовала уязвимости в Aspera Faspex, Microsoft Exchange и Oracle Web Applications Desktop Integrator, среди прочих, для получения начального доступа к целевым средам", - сказали исследователи Mandiant.
Субъект угрозы был связан с постэксплуатационной активностью, приведшей к развертыванию платформы командования и контроля (C2) Sliver, варианта программы для кражи учетных данных WARPWIRE и нового бэкдора на базе Go, получившего название TERRIBLETEA, который поставляется с функциями выполнения команд, ведения кейлогга, сканирования портов, взаимодействия с файловой системой и захвата экрана.
UNC5330, который, как было замечено, объединяет CVE-2024-21893 и CVE-2024-21887 для взлома устройств Ivanti Connect Secure VPN, по крайней мере, с февраля 2024 года, использовал пользовательские вредоносные программы, такие как TONERJAM и PHANTOMNET, для облегчения действий после компрометации -
Еще одним известным участником шпионской деятельности, связанным с Китаем, является UNC5337, который, как утверждается, проник на устройства Ivanti еще в январе 2024 года, используя CVE-2023-46805 и CVE-2024 для доставки специального набора вредоносных программ, известного как SPAWN, который состоит из четырех отдельных компонентов, работающих в тандеме и выполняющих функцию скрытого и постоянного бэкдора -
UNC5221, который ранее приписывался веб-оболочкам, таким как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE, также запустил веб-оболочку на основе Perl, называемую ROOTROT, которая встроена в законный файл Connect Secure .ttc, расположенный по адресу "/data /runtime /tmp / tt / setcookie.thtml.ttc" использует CVE-2023-46805 и CVE-2024-21887.
За успешным развертыванием веб-оболочки следует разведка сети и боковое перемещение, в некоторых случаях приводящее к компрометации сервера vCenter в сети жертвы с помощью бэкдора Golang под названием BRICKSTORM.
"BRICKSTORM - это бэкдор Go, нацеленный на серверы VMware vCenter", - объяснили исследователи Mandiant. "Он поддерживает возможность настраивать себя в качестве веб-сервера, выполнять манипуляции с файловой системой и каталогами, выполнять файловые операции, такие как загрузка / выгрузка, запускать команды командной оболочки и выполнять ретрансляцию SOCKS".
Последней из пяти китайских групп, причастных к злоупотреблению уязвимостями в системе безопасности Ivanti, является UNC5291, которая, по словам Мандьянта, вероятно, связана с другой хакерской группой UNC3236 (она же Volt Typhoon), в первую очередь из-за ее нацеленности на академический сектор, энергетику, оборону и здравоохранение.
"Деятельность этого кластера началась в декабре 2023 года с упором на Citrix Netscaler ADC, а затем переключилась на защищенные устройства Ivanti Connect после того, как подробности были обнародованы в середине января 2024 года", - говорится в сообщении компании.
Полученные данные еще раз подчеркивают угрозу, с которой сталкиваются устройства Edge, поскольку субъекты шпионажа используют комбинацию уязвимостей нулевого дня, инструментов с открытым исходным кодом и пользовательских бэкдоров, чтобы адаптировать свои методы в зависимости от своих целей и избегать обнаружения в течение длительных периодов времени.
Mandiant отслеживает кластеры под псевдонимами UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 и UNC5337. Еще одна группа, связанная с массовым использованием, - UNC3886.
Дочерняя компания Google Cloud заявила, что также наблюдала финансово мотивированных участников, использующих CVE-2023-46805 и CVE-2024-21887, вероятно, в попытке проводить операции по добыче криптовалюты.
"UNC5266 частично совпадает с UNC3569, шпионской компанией China nexus, которая, как было замечено, использовала уязвимости в Aspera Faspex, Microsoft Exchange и Oracle Web Applications Desktop Integrator, среди прочих, для получения начального доступа к целевым средам", - сказали исследователи Mandiant.
Субъект угрозы был связан с постэксплуатационной активностью, приведшей к развертыванию платформы командования и контроля (C2) Sliver, варианта программы для кражи учетных данных WARPWIRE и нового бэкдора на базе Go, получившего название TERRIBLETEA, который поставляется с функциями выполнения команд, ведения кейлогга, сканирования портов, взаимодействия с файловой системой и захвата экрана.
UNC5330, который, как было замечено, объединяет CVE-2024-21893 и CVE-2024-21887 для взлома устройств Ivanti Connect Secure VPN, по крайней мере, с февраля 2024 года, использовал пользовательские вредоносные программы, такие как TONERJAM и PHANTOMNET, для облегчения действий после компрометации -
- PHANTOMNET - модульный бэкдор, который взаимодействует с использованием пользовательского протокола связи по TCP и использует систему на основе плагинов для загрузки и выполнения дополнительных полезных нагрузок
- TONERJAM - лаунчер, предназначенный для расшифровки и запуска PHANTOMNET
Еще одним известным участником шпионской деятельности, связанным с Китаем, является UNC5337, который, как утверждается, проник на устройства Ivanti еще в январе 2024 года, используя CVE-2023-46805 и CVE-2024 для доставки специального набора вредоносных программ, известного как SPAWN, который состоит из четырех отдельных компонентов, работающих в тандеме и выполняющих функцию скрытого и постоянного бэкдора -
- SPAWNSNAIL - пассивный бэкдор, который прослушивает локальный хостинг и оснащен для запуска интерактивной оболочки bash, а также SPAWNSLOTH
- SPAWNMOLE - утилита для туннелирования, которая способна направлять вредоносный трафик на определенный хост, передавая безопасный трафик без изменений на веб-сервер Connect Secure
- SPAWNANT - программа установки, которая отвечает за обеспечение работоспособности SPAWNMOLE и SPAWNSNAIL, используя преимущества функции установки coreboot
- SPAWNSLOTH - программа для подделки журналов, которая отключает ведение журнала и пересылку журнала на внешний сервер системного журнала при запуске имплантата SPAWNSNAIL
UNC5221, который ранее приписывался веб-оболочкам, таким как BUSHWALK, CHAINLINE, FRAMESTING и LIGHTWIRE, также запустил веб-оболочку на основе Perl, называемую ROOTROT, которая встроена в законный файл Connect Secure .ttc, расположенный по адресу "/data /runtime /tmp / tt / setcookie.thtml.ttc" использует CVE-2023-46805 и CVE-2024-21887.
За успешным развертыванием веб-оболочки следует разведка сети и боковое перемещение, в некоторых случаях приводящее к компрометации сервера vCenter в сети жертвы с помощью бэкдора Golang под названием BRICKSTORM.
"BRICKSTORM - это бэкдор Go, нацеленный на серверы VMware vCenter", - объяснили исследователи Mandiant. "Он поддерживает возможность настраивать себя в качестве веб-сервера, выполнять манипуляции с файловой системой и каталогами, выполнять файловые операции, такие как загрузка / выгрузка, запускать команды командной оболочки и выполнять ретрансляцию SOCKS".
Последней из пяти китайских групп, причастных к злоупотреблению уязвимостями в системе безопасности Ivanti, является UNC5291, которая, по словам Мандьянта, вероятно, связана с другой хакерской группой UNC3236 (она же Volt Typhoon), в первую очередь из-за ее нацеленности на академический сектор, энергетику, оборону и здравоохранение.
"Деятельность этого кластера началась в декабре 2023 года с упором на Citrix Netscaler ADC, а затем переключилась на защищенные устройства Ivanti Connect после того, как подробности были обнародованы в середине января 2024 года", - говорится в сообщении компании.
Полученные данные еще раз подчеркивают угрозу, с которой сталкиваются устройства Edge, поскольку субъекты шпионажа используют комбинацию уязвимостей нулевого дня, инструментов с открытым исходным кодом и пользовательских бэкдоров, чтобы адаптировать свои методы в зависимости от своих целей и избегать обнаружения в течение длительных периодов времени.
