Ten minste twee verschillende vermoedelijke aan China gelinkte cyberspionageclusters, gevolgd als UNC5325 En UNC3886worden toegeschreven aan het misbruik van beveiligingsfouten in Ivanti Connect Secure VPN-apparaten.
UNC5325 misbruikte CVE-2024-21893 om een breed scala aan nieuwe malware te leveren, genaamd LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET en PITHOOK, en om blijvende toegang te behouden tot gecompromitteerde apparaten, aldus Mandiant.
Het dreigingsinformatiebedrijf van Google heeft met matig vertrouwen vastgesteld dat UNC5325 geassocieerd is met UNC3886 vanwege overlap in de broncode in LITTLELAMB.WOOLTEA en PITHOOK met malware die door laatstgenoemde wordt gebruikt.
Het is de moeite waard erop te wijzen dat UNC3886 een staat van dienst heeft in het benutten van zero-day-fouten in Fortinet- en VMware-oplossingen om een verscheidenheid aan implantaten zoals VIRTUALPITA, VIRTUALPIE, THINCRUST en CASTLETAP in te zetten.
“UNC3886 heeft zich in de eerste plaats gericht op de industriële defensie-, technologie- en telecommunicatieorganisaties in de VS en… [Asia-Pacific] regio’s”, aldus onderzoekers van Mandiant.
De actieve exploitatie van CVE-2024-21893 – een server-side request forgery (SSRF) kwetsbaarheid in de SAML-component van Ivanti Connect Secure, Ivanti Policy Secure en Ivanti Neurons voor ZTA – door UNC5325 zou al in januari hebben plaatsgevonden. 19 augustus 2024, gericht op een beperkt aantal apparaten.
De aanvalsketen omvat het combineren van CVE-2024-21893 met een eerder onthulde kwetsbaarheid voor commando-injectie, bijgehouden als CVE-2024-21887, om ongeoorloofde toegang te verkrijgen tot gevoelige apparaten, wat uiteindelijk leidt tot de implementatie van een nieuwe versie van BUSHWALK.
In sommige gevallen is ook misbruik gemaakt van legitieme Ivanti-componenten, zoals SparkGateway-plug-ins, om extra payloads te verwijderen. Dit omvat de PITFUEL-plug-in om een kwaadaardig gedeeld object met de codenaam LITTLELAMB.WOOLTEA te laden, dat wordt geleverd met mogelijkheden om te blijven bestaan bij systeemupgradegebeurtenissen, patches en fabrieksresets.
Het fungeert verder als een achterdeur die de uitvoering van opdrachten, bestandsbeheer, het maken van shells, SOCKS-proxy en tunneling van netwerkverkeer ondersteunt.
Ook waargenomen is een andere kwaadaardige SparkGateway-plug-in genaamd PITDOG die een gedeeld object injecteert dat bekend staat als PITHOOK om voortdurend een implantaat uit te voeren dat PITSTOP wordt genoemd en dat is ontworpen voor het uitvoeren van shell-opdrachten, het schrijven van bestanden en het lezen van bestanden op het gecompromitteerde apparaat.
Mandiant beschreef de bedreigingsacteur als iemand die blijk had gegeven van een “genuanceerd begrip van het apparaat en hun vermogen om detectie tijdens deze campagne te ondermijnen” en die ‘living-off-the-land’-technieken (LotL) gebruikte om onder de radar te vliegen.
Het cyberbeveiligingsbedrijf zei dat het verwacht dat “UNC5325 en andere Chinese spionageactoren zullen blijven gebruikmaken van zero-day-kwetsbaarheden op netwerkrandapparaten en apparaatspecifieke malware om toegang te krijgen en te behouden tot doelomgevingen.”
Er zijn links gevonden tussen Volt Typhoon en UTA0178
De onthulling komt op het moment dat het industriële cyberbeveiligingsbedrijf Dragos de door China gesponsorde Volt Typhoon (ook bekend als Voltzite) toeschreef aan verkennings- en opsommingsactiviteiten gericht op meerdere in de VS gevestigde elektriciteitsbedrijven, hulpdiensten, telecommunicatieaanbieders, industriële defensiebasissen en satellietdiensten.
“Voltzite’s acties richting Amerikaanse elektriciteitsbedrijven, telecommunicatie en GIS-systemen betekenen duidelijke doelstellingen om kwetsbaarheden binnen de kritieke infrastructuur van het land te identificeren die in de toekomst kunnen worden uitgebuit met destructieve of ontwrichtende cyberaanvallen”, aldus het rapport.
De slachtofferrol van Volt Typhoon is sindsdien uitgebreid met Afrikaanse aanbieders van elektriciteitstransmissie en -distributie, met bewijs dat de tegenstander in verband brengt met UTA0178, een dreigingsactiviteitengroep die verband houdt met de zero-day-exploitatie van Ivanti Connect Secure-fouten begin december 2023.
De cyberspionagespeler, die sterk afhankelijk is van LotL-methoden om detectie te omzeilen, sluit zich aan bij twee andere nieuwe groepen, namelijk Gananiet en Laurionite, die in 2023 aan het licht kwamen, en die langdurige verkennings- en diefstaloperaties van intellectueel eigendom uitvoeren, gericht op kritieke infrastructuur en overheidsinstanties.
“Voltzite gebruikt zeer minimale gereedschappen en geeft er de voorkeur aan hun activiteiten uit te voeren met zo min mogelijk voetafdruk”, legt Dragos uit. “Voltzite richt zich sterk op het ontduiken van detectie en langdurige toegang met de ingeschatte bedoeling van langdurige spionage en data-exfiltratie.”
