Meerdere Chinese nexus-dreigingsactoren zijn in verband gebracht met de zero-day-exploitatie van drie beveiligingsfouten die gevolgen hebben voor Ivanti-apparaten (CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893).
De clusters worden gevolgd door Mandiant onder de namen UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 en UNC5337. Een andere groep die betrokken is bij de uitbuitingsgolf is UNC3886.
De dochteronderneming van Google Cloud zei dat het ook financieel gemotiveerde actoren heeft waargenomen die CVE-2023-46805 en CVE-2024-21887 exploiteren, waarschijnlijk in een poging om cryptocurrency-miningactiviteiten uit te voeren.
“UNC5266 overlapt gedeeltelijk met UNC3569, een Chinese spionage-acteur waarvan is waargenomen dat hij misbruik maakt van kwetsbaarheden in onder meer Aspera Faspex, Microsoft Exchange en Oracle Web Applications Desktop Integrator om initiële toegang te krijgen tot doelomgevingen”, aldus Mandiant-onderzoekers.
De dreigingsactor is in verband gebracht met post-exploitatieactiviteiten die hebben geleid tot de inzet van het Sliver command-and-control (C2)-framework, een variant van de WARPWIRE-credential stealer en een nieuwe op Go gebaseerde achterdeur genaamd TERRIBLETEA die wordt geleverd met commando-uitvoering , keylogging, poortscannen, bestandssysteeminteractie en schermopnamefuncties.
UNC5330, waarvan is waargenomen dat de combinatie van CVE-2024-21893 en CVE-2024-21887 al sinds februari 2024 inbreuk maakt op Ivanti Connect Secure VPN-apparaten, heeft aangepaste malware zoals TONERJAM en PHANTOMNET gebruikt om acties na een compromittering te vergemakkelijken –
- FANTOMNET – Een modulaire achterdeur die communiceert via een aangepast communicatieprotocol via TCP en een op plug-ins gebaseerd systeem gebruikt om extra payloads te downloaden en uit te voeren
- TONERJAM – Een opstartprogramma dat is ontworpen om PHANTOMNET te decoderen en uit te voeren
Naast het gebruik van Windows Management Instrumentation (WMI) om verkenningen uit te voeren, lateraal te bewegen, registervermeldingen te manipuleren en persistentie tot stand te brengen, is het bekend dat UNC5330 LDAP-bindaccounts compromitteert die op de geïnfecteerde apparaten zijn geconfigureerd om toegang tot de domeinbeheerder te krijgen.
Een andere opmerkelijke aan China gelinkte spionagespeler is UNC5337, die al in januari 2024 Ivanti-apparaten zou hebben geïnfiltreerd met behulp van CVE-2023-46805 en CVE-2024 om een aangepaste malwaretoolset te leveren die bekend staat als SPAWN en die vier afzonderlijke componenten omvat die werken in tandem om te functioneren als een heimelijke en hardnekkige achterdeur –
- SPAWNSNAIL – Een passieve achterdeur die luistert op localhost en is uitgerust om zowel een interactieve bash-shell als SPAWNSLOTH te starten
- SPAWNMOLE – Een tunnelhulpprogramma dat kwaadaardig verkeer naar een specifieke host kan leiden, terwijl goedaardig verkeer ongewijzigd wordt doorgestuurd naar de Connect Secure-webserver
- SPAWNANT – Een installatieprogramma dat verantwoordelijk is voor het garanderen van de persistentie van SPAWNMOLE en SPAWNSNAIL door gebruik te maken van een coreboot-installatiefunctie
- SPAWNSLOOT – Een log-manipulatieprogramma dat loggen en het doorsturen van logs naar een externe syslog-server uitschakelt wanneer het SPAWNSNAIL-implantaat actief is
Mandiant heeft met middelmatig vertrouwen vastgesteld dat UNC5337 en UNC5221 één en dezelfde dreigingsgroep vormen, en merkt op dat de SPAWN-tool “ontworpen is om toegang op lange termijn mogelijk te maken en detectie te voorkomen.”
UNC5221, dat eerder werd toegeschreven aan webshells zoals BUSHWALK, CHAINLINE, FRAMESTING en LIGHTWIRE, heeft ook een op Perl gebaseerde webshell gelanceerd die ROOTROT wordt genoemd en die is ingebed in een legitiem Connect Secure .ttc-bestand op de locatie “/data/runtime /tmp/tt/setcookie.thtml.ttc” door gebruik te maken van CVE-2023-46805 en CVE-2024-21887.
Een succesvolle implementatie van de webshell wordt gevolgd door netwerkverkenning en laterale beweging, in sommige gevallen resulterend in het compromitteren van een vCenter-server in het slachtoffernetwerk door middel van een Golang-achterdeur genaamd BRICKSTORM.
“BRICKSTORM is een Go-backdoor die zich richt op VMware vCenter-servers”, leggen onderzoekers van Mandiant uit. “Het ondersteunt de mogelijkheid om zichzelf op te zetten als een webserver, bestandssysteem- en mapmanipulatie uit te voeren, bestandsbewerkingen uit te voeren zoals uploaden/downloaden, shell-opdrachten uit te voeren en SOCKS-relaying uit te voeren.”
De laatste van de vijf in China gevestigde groepen die betrokken zijn bij het misbruik van Ivanti-beveiligingsfouten is UNC5291, waarvan Mandiant zei dat deze waarschijnlijk banden heeft met een andere hackgroep UNC3236 (ook bekend als Volt Typhoon), voornamelijk vanwege zijn doelwitten op academisch, energie-, defensie- en veiligheidsgebied. gezondheidssectoren.
“De activiteit voor dit cluster begon in december 2023, met de nadruk op Citrix Netscaler ADC en verschoof vervolgens naar de focus op Ivanti Connect Secure-apparaten nadat de details medio januari 2024 openbaar waren gemaakt”, aldus het bedrijf.
De bevindingen onderstrepen nogmaals de dreiging waarmee edge-apparaten worden geconfronteerd, waarbij de spionageactoren een combinatie van zero-day-fouten, open-sourcetooling en aangepaste achterdeurtjes gebruiken om hun vak af te stemmen op hun doelen en zo detectie voor langere tijd te omzeilen.
