Подозреваемые субъекты национального государства внедрили целых пять различных семейств вредоносных программ в рамках мероприятий после эксплуатации с использованием двух уязвимостей нулевого дня в устройствах Ivanti Connect Secure (ICS) VPN с начала декабря 2023 года.
"Эти семейства позволяют субъектам угрозы обходить аутентификацию и предоставлять черный доступ к этим устройствам", - сказал Мандиант в анализе, опубликованном на этой неделе. Компания по анализу угроз, принадлежащая Google, отслеживает субъекта угрозы под псевдонимом UNC5221.
Атаки используют цепочку эксплойтов, включающую уязвимость обхода аутентификации (CVE-2023-46805) и уязвимость внедрения кода (CVE-2024-21887) для захвата уязвимых экземпляров.
Volexity, которая приписала эту деятельность подозреваемому китайскому шпиону по имени UTA0178, заявила, что двойные уязвимости использовались для получения начального доступа, развертывания веб-оболочек, бэкдора легитимных файлов, захвата учетных данных и данных конфигурации и дальнейшего проникновения в среду жертвы.
По словам Ivanti, вторжения затронули менее 10 клиентов, что указывает на то, что это могла быть целенаправленная кампания. Ожидается, что исправления для двух уязвимостей (неофициально называемых ConnectAround) станут доступны на неделе 22 января.
Анализ атак Mandiant выявил наличие пяти различных пользовательских семейств вредоносных программ, помимо внедрения вредоносного кода в законные файлы в ICS и использования других законных инструментов, таких как BusyBox и PySoxy, для облегчения последующей деятельности.
"Из-за того, что некоторые разделы устройства доступны только для чтения, UNC5221 использовал Perl-скрипт (sessionserver.pl ) для перенастройки файловой системы в режиме чтения / записи и обеспечения возможности развертывания THINSPOOL, средства удаления сценариев оболочки, которое записывает веб-оболочку LIGHTWIRE в законный файл Connect Secure, и других дополнительных инструментов ", - говорится в сообщении компании.
LIGHTWIRE - это одна из двух веб-оболочек, другой является WIREFIRE, которые представляют собой "легкие плацдармы", предназначенные для обеспечения постоянного удаленного доступа к скомпрометированным устройствам. В то время как LIGHTWIRE написан на Perl CGI, WIREFIRE реализован на Python.
Также в атаках используются программа для кражи учетных данных на основе JavaScript, получившая название WARPWIRE, и пассивный бэкдор под названием ZIPLINE, который способен загружать файлы, устанавливать обратную оболочку, создавать прокси-сервер и настраивать сервер туннелирования для отправки трафика между несколькими конечными точками.
"Это указывает на то, что это не оппортунистические атаки, и UNC5221 намеревался сохранить свое присутствие на подмножестве высокоприоритетных целей, которые он скомпрометировал после неизбежного выпуска исправления", - добавил Мандиант далее.
UNC5221 не был связан с какой-либо ранее известной группой или конкретной страной, хотя нацеливание на пограничную инфраструктуру путем использования уязвимостей нулевого дня и использование компрометирующей инфраструктуры командования и контроля (C2) для обхода обнаружения несет все признаки продвинутой постоянной угрозы (APT).
"Деятельность UNC5221 демонстрирует, что эксплуатация сетей и проживание на периферии остаются жизнеспособной и привлекательной целью для субъектов шпионажа", - сказал Мандиант.
"Эти семейства позволяют субъектам угрозы обходить аутентификацию и предоставлять черный доступ к этим устройствам", - сказал Мандиант в анализе, опубликованном на этой неделе. Компания по анализу угроз, принадлежащая Google, отслеживает субъекта угрозы под псевдонимом UNC5221.
Атаки используют цепочку эксплойтов, включающую уязвимость обхода аутентификации (CVE-2023-46805) и уязвимость внедрения кода (CVE-2024-21887) для захвата уязвимых экземпляров.
Volexity, которая приписала эту деятельность подозреваемому китайскому шпиону по имени UTA0178, заявила, что двойные уязвимости использовались для получения начального доступа, развертывания веб-оболочек, бэкдора легитимных файлов, захвата учетных данных и данных конфигурации и дальнейшего проникновения в среду жертвы.
По словам Ivanti, вторжения затронули менее 10 клиентов, что указывает на то, что это могла быть целенаправленная кампания. Ожидается, что исправления для двух уязвимостей (неофициально называемых ConnectAround) станут доступны на неделе 22 января.
Анализ атак Mandiant выявил наличие пяти различных пользовательских семейств вредоносных программ, помимо внедрения вредоносного кода в законные файлы в ICS и использования других законных инструментов, таких как BusyBox и PySoxy, для облегчения последующей деятельности.
"Из-за того, что некоторые разделы устройства доступны только для чтения, UNC5221 использовал Perl-скрипт (sessionserver.pl ) для перенастройки файловой системы в режиме чтения / записи и обеспечения возможности развертывания THINSPOOL, средства удаления сценариев оболочки, которое записывает веб-оболочку LIGHTWIRE в законный файл Connect Secure, и других дополнительных инструментов ", - говорится в сообщении компании.
LIGHTWIRE - это одна из двух веб-оболочек, другой является WIREFIRE, которые представляют собой "легкие плацдармы", предназначенные для обеспечения постоянного удаленного доступа к скомпрометированным устройствам. В то время как LIGHTWIRE написан на Perl CGI, WIREFIRE реализован на Python.
Также в атаках используются программа для кражи учетных данных на основе JavaScript, получившая название WARPWIRE, и пассивный бэкдор под названием ZIPLINE, который способен загружать файлы, устанавливать обратную оболочку, создавать прокси-сервер и настраивать сервер туннелирования для отправки трафика между несколькими конечными точками.
"Это указывает на то, что это не оппортунистические атаки, и UNC5221 намеревался сохранить свое присутствие на подмножестве высокоприоритетных целей, которые он скомпрометировал после неизбежного выпуска исправления", - добавил Мандиант далее.
UNC5221 не был связан с какой-либо ранее известной группой или конкретной страной, хотя нацеливание на пограничную инфраструктуру путем использования уязвимостей нулевого дня и использование компрометирующей инфраструктуры командования и контроля (C2) для обхода обнаружения несет все признаки продвинутой постоянной угрозы (APT).
"Деятельность UNC5221 демонстрирует, что эксплуатация сетей и проживание на периферии остаются жизнеспособной и привлекательной целью для субъектов шпионажа", - сказал Мандиант.
