Mandiant thuộc sở hữu của Google cho biết họ đã xác định được phần mềm độc hại mới được sử dụng bởi UNC5221 và các nhóm đe dọa khác trong hoạt động sau khai thác nhắm vào các thiết bị Ivanti Connect Secure VPN và Policy Secure.

Điều này bao gồm các web shell tùy chỉnh như BUSHWALK, CHAINLINE, FRAMESTING và một biến thể của LIGHTWIRE .

“CHAINLINE là một backdoor viết bằng ngôn ngữ Python được nhúng vào trong gói thư viện của Ivanti Connect Secure cho phép tùy ý thực thi các câu lệnh”, công ty cho biết và gán nó cho UNC5221, đồng thời cho biết thêm nó cũng phát hiện nhiều phiên bản mới của WARPWIRE , một kẻ đánh cắp thông tin xác thực dựa trên JavaScript. .

Chuỗi lây nhiễm kéo theo việc khai thác thành công CVE-2023-46805 và CVE-2024-21887 , cho phép kẻ đe dọa chưa được xác thực thực thi các lệnh tùy ý trên thiết bị Ivanti với các đặc quyền nâng cao.

Các lỗ hổng này đã bị lạm dụng dưới dạng zero-day kể từ đầu tháng 12 năm 2023. Văn phòng An ninh Thông tin Liên bang Đức (BSI) cho biết họ đã biết về “nhiều hệ thống bị xâm nhập” ở nước này.

BUSHWALK, được viết bằng Perl và được triển khai bằng cách vượt qua các biện pháp giảm thiểu do Ivanti đưa ra trong các cuộc tấn công có mục tiêu cao, được nhúng vào một tệp Connect Secure hợp pháp có tên “querymanifest.cgi” và cung cấp khả năng đọc hoặc ghi vào tệp vào máy chủ.

Mặt khác, FRAMESTING là một web shell Python được nhúng trong gói Python bảo mật Ivanti Connect (nằm trong đường dẫn sau: “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py”) cho phép thực thi lệnh tùy ý.

Phân tích của Mandiant về cửa hậu thụ động ZIPLINE cũng đã phát hiện ra việc nó sử dụng “chức năng mở rộng để đảm bảo xác thực giao thức tùy chỉnh được sử dụng để thiết lập lệnh và kiểm soát (C2)”.

Hơn nữa, các cuộc tấn công có đặc điểm là sử dụng các tiện ích nguồn mở như Impacket , CrackMapExec và Enum4linux để hỗ trợ hoạt động sau khai thác trên các thiết bị Ivanti CS, bao gồm trinh sát mạng, di chuyển ngang và trích xuất dữ liệu trong môi trường nạn nhân.

Ivanti kể từ đó đã tiết lộ thêm hai lỗ hổng bảo mật, CVE-2024-21888 và CVE-2024-21893, lỗ hổng thứ hai đã được khai thác tích cực nhắm vào “số lượng khách hàng hạn chế”. Công ty cũng đã phát hành đợt sửa lỗi đầu tiên để giải quyết bốn lỗ hổng.

UNC5221 được cho là nhắm mục tiêu vào một loạt ngành công nghiệp có lợi ích chiến lược đối với Trung Quốc, với cơ sở hạ tầng và công cụ chồng chéo với các cuộc xâm nhập trong quá khứ có liên quan đến các tác nhân gián điệp có trụ sở tại Trung Quốc.

Mandiant cho biết: “Các công cụ dựa trên Linux được xác định trong các cuộc điều tra ứng phó sự cố sử dụng mã từ nhiều kho lưu trữ Github bằng tiếng Trung Quốc”. “UNC5221 đã tận dụng phần lớn các TTP liên quan đến việc khai thác cơ sở hạ tầng biên trong zero-day của các tác nhân bị nghi ngờ có liên quan đến PRC.”

Nguồn: The Hacker News