Компания Mandiant и Ivanti проводят расследование масштабной эксплуатации уязвимостей в продуктах Ivanti, включая сектор оборонно-промышленной базы. Обнаружено, что эксплуатирующие уязвимости субъекты связаны с Китаем. Уязвимости используют методы live-off-the-land (LotL) для уклонения от обнаружения и развертки новых вредоносных программ.
Компания Ivanti рекомендует своим клиентам принять меры по обеспечению защиты и предоставляет новую версию инструмента проверки внешней целостности. Было раскрыто пять уязвимостей, затрагивающих продукты Ivanti Connect Secure. Один из способов эксплуатации уязвимостей, известный как CVE-2024-21893, был описан и был устранен в исправлениях, выпущенных 31 января. Также была обнаружена дополнительная уязвимость CVE-2024-22024, связанная с XXE, которая позволяет злоумышленникам получить доступ к ограниченным ресурсам на устройствах. Идентифицированы китайские операторы кибершпионажа (UNC5325 и UNC3886), которые использовали данные уязвимости для своих целей. Обнаружены новые тактики, методы и процедуры злоумышленников, а также новые вредоносные программы, используемые для хищения данных и поддержания доступа к устройствам.
Indicators of Compromise
MD5
- 2ddeca6511506fe435dc1f63b4cf061c
- 31a591a28198f05e9ab4d12609a9ce81
- 5368b1122c10fa7850f44d3e16fc18fb
- 5f561f217a8046de8cadf418ef4dfda0
- 6c58b8b1e3b36a5a124afd110c109ebc
- 8c4b32e8ee9e0b2f8dab01364971ffff
- 9e0941c4851d414b5d25dd15872c3e47
- b76d7890a7a7ff6d0b1151a8251e318f
- e33a3a90f1f8fa6d8f17bc6151b027d6
- e48716521dc48425feae71bc9dc768cd
- e4fe3a314a3aee5aee9c55787a33671c
- f64a799ff16aded3f4d6706ffbd7e6dd
- fb973c8bbfdba234ea83ee20084dcac9
- fd83b3e9db57838b62c5baf8218ce5a8