Egy Kínához köthető csoport aktívan kihasználja az Ivanti Connect Secure VPN készülékek biztonsági hibáit.
Az UNC5325 néven nyomon követett csoport a CVE-2024-21893-at a LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET és PITHOOK nevű új rosszindulatú programok terjesztésére, valamint perzisztencia fenntartásához használja a veszélyeztetett eszközökön. A sebezhetőség UNC5325 általi aktív kihasználása állítólag már 2024. január 19-én megtörtént, és korlátozott számú eszközt célzott meg.
A támadási lánc a CVE-2024-21893 és egy korábban nyilvánosságra hozott, CVE-2024-21887 néven nyomon követett parancsinjekciós sebezhetőség kombinálásával teszi lehetővé a jogosulatlan hozzáférést a sérülékeny eszközökhöz. Ezek együttes használata a BUSHWALK új verziójának telepítéséhez vezet.
Néhány esetben a legitim Ivanti komponensekkel, például a SparkGateway pluginekkel is visszaéltek további payload-ok droppolásához. Ide tartozik a PITFUEL plugin, amely egy LITTLELAMB.WOOLTEA kódnevű rosszindulatú megosztott objektum betöltésére szolgál, amely olyan képességekkel rendelkezik, amelyek a rendszerfrissítési események, javítások és gyári visszaállítások során is fennmaradnak. Továbbá olyan hátsó ajtóként működik, amely támogatja a parancsok végrehajtását, a fájlkezelést, a shell létrehozását, a SOCKS proxy-t és a hálózati forgalom tunnelinget.
Megfigyeltek egy másik rosszindulatú SparkGateway bővítményt is, amelyet PITDOG-nak neveztek el, és amely egy PITHOOK nevű megosztott objektumot injektál annak érdekében, hogy tartósan futtasson egy PITSTOP nevű implantátumot, amelyet shell parancsok végrehajtására, fájlírásra és fájlolvasásra terveztek a megtámadott készüléken.
A Mandiant leírása szerint a kártékony aktor “árnyalt megértést tanúsított a készülékkel kapcsolatban, és a kampány során képes volt megkerülni az észlelést”, és az elrejtőzéshez LotL (living-off-the-land) technikákat használt.
A kiberbiztonsági cég arra számít, hogy az UNC5325, valamint más, Kínához kötődő kémkedő szereplők továbbra is kihasználják a szélső hálózati eszközök nulladik napi sebezhetőségeit, valamint a készülék specifikus rosszindulatú szoftvereket, hogy hozzáférést szerezzenek a célkörnyezetekhez és fenntartsák azt.
