Mandiant, eigendom van Google, zei dat het nieuwe malware heeft geïdentificeerd die werd gebruikt door een spionagebedreigingsacteur uit China, bekend als UNC5221, en andere bedreigingsgroepen tijdens post-exploitatieactiviteiten gericht op Ivanti Connect Secure VPN en Policy Secure-apparaten.
Dit omvat op maat gemaakte webshells zoals BUSHWALK, CHAINLINE, FRAMESTING en een variant van LIGHTWIRE.
“CHAINLINE is een Python-webshell-achterdeur die is ingebed in een Ivanti Connect Secure Python-pakket dat willekeurige opdrachtuitvoering mogelijk maakt”, aldus het bedrijf, toeschrijvend aan UNC5221, eraan toevoegend dat het ook meerdere nieuwe versies van WARPWIRE heeft gedetecteerd, een op JavaScript gebaseerde inloggegevensdief. .
De infectieketens brengen een succesvolle exploitatie van CVE-2023-46805 en CVE-2024-21887 met zich mee, waardoor een niet-geverifieerde bedreigingsacteur willekeurige opdrachten kan uitvoeren op het Ivanti-apparaat met verhoogde rechten.
De fouten worden sinds begin december 2023 misbruikt als zero-days. Het Duitse Federale Bureau voor Informatiebeveiliging (BSI) zei op de hoogte te zijn van “meerdere gecompromitteerde systemen” in het land.
BUSHWALK, geschreven in Perl en geïmplementeerd door het omzeilen van de door Ivanti uitgegeven maatregelen bij zeer gerichte aanvallen, is ingebed in een legitiem Connect Secure-bestand met de naam “querymanifest.cgi” en biedt de mogelijkheid om bestanden naar een server te lezen of ernaar te schrijven.
Aan de andere kant is FRAMESTING een Python-webshell ingebed in een Ivanti Connect Secure Python-pakket (bevindt zich in het volgende pad “/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg /cav/api/resources/category.py”) waarmee willekeurige opdrachtuitvoering mogelijk is.
Mandiant’s analyse van de passieve achterdeur van ZIPLINE heeft ook het gebruik blootgelegd van “uitgebreide functionaliteit om de authenticatie te garanderen van het aangepaste protocol dat wordt gebruikt om command-and-control (C2) tot stand te brengen.”
Bovendien worden de aanvallen gekenmerkt door het gebruik van open-sourcehulpprogramma’s zoals Imppacket, CrackMapExec, jodium en Enum4linux ter ondersteuning van post-exploitatieactiviteiten op Ivanti CS-apparaten, waaronder netwerkverkenning, laterale verplaatsing en gegevensexfiltratie binnen slachtofferomgevingen.
Ivanti heeft sindsdien nog twee beveiligingsfouten onthuld, CVE-2024-21888 en CVE-2024-21893, waarvan de laatste actief wordt uitgebuit en gericht is op een “beperkt aantal klanten”. Het bedrijf heeft ook de eerste reeks oplossingen uitgebracht om de vier kwetsbaarheden aan te pakken.
UNC5221 zou zich richten op een breed scala aan industrieën die van strategisch belang zijn voor China, waarbij de infrastructuur en het instrumentarium overlappen met eerdere inbraken die verband houden met in China gevestigde spionageactoren.
“Op Linux gebaseerde tools die zijn geïdentificeerd in incidentresponsonderzoeken gebruiken code uit meerdere Chineestalige Github-repository’s”, aldus Mandiant. “UNC5221 heeft grotendeels gebruik gemaakt van TTP’s die verband houden met zero-day-exploitatie van edge-infrastructuur door vermoedelijke nexusactoren in de VRC.”
