Egy újabb csoport használja ki az Ivanti sérülékenységeket

Egy Kínához köthető csoport aktívan kihasználja az Ivanti Connect Secure VPN készülékek biztonsági hibáit.

Az UNC5325 néven nyomon követett csoport a CVE-2024-21893-at a LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET és PITHOOK nevű új rosszindulatú programok terjesztésére, valamint perzisztencia fenntartásához használja a veszélyeztetett eszközökön. A sebezhetőség UNC5325 általi aktív kihasználása állítólag már 2024. január 19-én megtörtént, és korlátozott számú eszközt célzott meg.

A támadási lánc a CVE-2024-21893 és egy korábban nyilvánosságra hozott, CVE-2024-21887 néven nyomon követett parancsinjekciós sebezhetőség kombinálásával teszi lehetővé a jogosulatlan hozzáférést a sérülékeny eszközökhöz. Ezek együttes használata a BUSHWALK új verziójának telepítéséhez vezet.

Néhány esetben a legitim Ivanti komponensekkel, például a SparkGateway pluginekkel is visszaéltek további payload-ok droppolásához. Ide tartozik a PITFUEL plugin, amely egy LITTLELAMB.WOOLTEA kódnevű rosszindulatú megosztott objektum betöltésére szolgál, amely olyan képességekkel rendelkezik, amelyek a rendszerfrissítési események, javítások és gyári visszaállítások során is fennmaradnak. Továbbá olyan hátsó ajtóként működik, amely támogatja a parancsok végrehajtását, a fájlkezelést, a shell létrehozását, a SOCKS proxy-t és a hálózati forgalom tunnelinget.

Megfigyeltek egy másik rosszindulatú SparkGateway bővítményt is, amelyet PITDOG-nak neveztek el, és amely egy PITHOOK nevű megosztott objektumot injektál annak érdekében, hogy tartósan futtasson egy PITSTOP nevű implantátumot, amelyet shell parancsok végrehajtására, fájlírásra és fájlolvasásra terveztek a megtámadott készüléken.

A Mandiant leírása szerint a kártékony aktor “árnyalt megértést tanúsított a készülékkel kapcsolatban, és a kampány során képes volt megkerülni az észlelést”, és az elrejtőzéshez LotL (living-off-the-land) technikákat használt.

A kiberbiztonsági cég arra számít, hogy az UNC5325, valamint más, Kínához kötődő kémkedő szereplők továbbra is kihasználják a szélső hálózati eszközök nulladik napi sebezhetőségeit, valamint a készülék specifikus rosszindulatú szoftvereket, hogy hozzáférést szerezzenek a célkörnyezetekhez és fenntartsák azt.

(thehackernews.com)