Sinds begin december 2023 zijn maar liefst vijf verschillende malwarefamilies ingezet door vermoedelijke natiestatelijke actoren als onderdeel van post-exploitatieactiviteiten waarbij gebruik werd gemaakt van twee zero-day-kwetsbaarheden in Ivanti Connect Secure (ICS) VPN-apparaten.
“Deze families stellen de bedreigingsactoren in staat authenticatie te omzeilen en achterdeurtoegang tot deze apparaten te bieden”, zei Mandiant in een analyse die deze week werd gepubliceerd. Het dreigingsinformatiebedrijf van Google volgt de dreigingsactor onder de naam UNC5221.
De aanvallen maken gebruik van een exploitketen die bestaat uit een authenticatie-bypass-fout (CVE-2023-46805) en een kwetsbaarheid voor code-injectie (CVE-2024-21887) om gevoelige instanties over te nemen.
Volexity, dat de activiteit toeschreef aan een vermoedelijke Chinese spionageacteur genaamd UTA0178, zei dat de twee fouten werden gebruikt om initiële toegang te verkrijgen, webshells in te zetten, legitieme bestanden achter de deur te plaatsen, inloggegevens en configuratiegegevens vast te leggen en verder in de slachtofferomgeving te komen.
Volgens Ivanti hadden de inbraken gevolgen voor minder dan tien klanten, wat aangeeft dat dit een zeer gerichte campagne zou kunnen zijn. Patches voor de twee kwetsbaarheden (informeel ConnectAround genoemd) zullen naar verwachting in de week van 22 januari beschikbaar komen.
Mandiant’s analyse van de aanvallen heeft de aanwezigheid van vijf verschillende aangepaste malwarefamilies aan het licht gebracht, naast het injecteren van kwaadaardige code in legitieme bestanden binnen ICS en het gebruik van andere legitieme tools zoals BusyBox en PySoxy om daaropvolgende activiteiten te vergemakkelijken.
“Omdat bepaalde delen van het apparaat alleen-lezen zijn, heeft UNC5221 een Perl-script (sessionserver.pl) gebruikt om het bestandssysteem opnieuw te koppelen als lezen/schrijven en de implementatie van THINSPOOL mogelijk te maken, een shell-script-dropper die de webshell LIGHTWIRE naar een legitiem Connect Secure-bestand en andere vervolgtools”, aldus het bedrijf.
LIGHTWIRE is een van de twee webshells, de andere is WIREFIRE, dit zijn “lichtgewicht steunpunten” die zijn ontworpen om permanente toegang op afstand tot aangetaste apparaten te garanderen. Terwijl LIGHTWIRE is geschreven in Perl CGI, is WIREFIRE geïmplementeerd in Python.
Ook gebruikt bij de aanvallen is een op JavaScript gebaseerde inloggegevensdief genaamd WARPWIRE en een passieve achterdeur genaamd ZIPLINE die in staat is om bestanden te downloaden/uploaden, een reverse shell op te zetten, een proxyserver te creëren en een tunnelingserver op te zetten om verkeer tussen meerdere eindpunten te verzenden. .
“Dit geeft aan dat dit geen opportunistische aanvallen zijn, en dat UNC5221 zijn aanwezigheid wilde behouden op een subset van doelen met hoge prioriteit die het in gevaar bracht nadat een patch onvermijdelijk was uitgebracht”, voegde Mandiant verder toe.
UNC5221 is niet gekoppeld aan een eerder bekende groep of een bepaald land, hoewel het aanvallen op de edge-infrastructuur door het bewapenen van zero-day-fouten en het gebruik van een compromis-command-and-control (C2)-infrastructuur om detectie te omzeilen alle kenmerken draagt van een geavanceerde aanhoudende dreiging (APT).
“De activiteit van UNC5221 toont aan dat het exploiteren van en leven aan de rand van netwerken een levensvatbaar en aantrekkelijk doelwit blijft voor spionageactoren”, aldus Mandiant.
