Ivanti Connect Secure VPN: Случаи бокового перемещения после эксплоатации

С момента первоначального раскрытия CVE-2023-46805 и CVE-2024-21887 10 января 2024 года компания Mandiant провела множество мероприятий по реагированию на инциденты в различных отраслях и географических регионах.

Оглавление

Mandiant отслеживает многочисленные кластеры активности, эксплуатирующие CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893 в рамках наших расследований инцидентов. Помимо предполагаемых групп шпионажа, связанных с Китаем, Mandiant также выявила финансово мотивированных субъектов, эксплуатирующих CVE-2023-46805 и CVE-2024-21887, которые, вероятно, используют их для таких операций, как криптодобыча. С момента публичного раскрытия информации 10 января 2024 года Mandiant обнаружила восемь отдельных кластеров, вовлеченных в эксплуатацию одного или нескольких из этих CVE Ivanti. Из них мы выделяем пять кластеров China-nexus, которые осуществляли вторжения.

В феврале 2024 года Mandiant выявила кластер активности, отслеживаемый как UNC5291, который, по нашей оценке, со средней степенью уверенности является Volt Typhoon, нацеленным на энергетический и оборонный секторы США. Кампания UNC5291 нацелилась на Citrix Netscaler ADC в декабре 2023 года и прощупывала устройства Ivanti Connect Secure в середине января 2024 года, однако Mandiant не наблюдала, чтобы Volt Typhoon успешно скомпрометировал Ivanti Connect Secure.

UNC5221

UNC5221 - это подозреваемый агент Chinanexus, которого Mandiant отслеживает как единственную группу, эксплуатирующую CVE-2023-46805 и CVE-2024-21887 в период до раскрытия информации с начала декабря 2023 года. Как указано в нашей предыдущей записи в блоге, UNC5221 также широко эксплуатировал CVE-2023-46805 и CVE-2024-21887 после публичного раскрытия 10 января 2024 года.

UNC5266

Mandiant создала UNC5266 для отслеживания эксплуатации после раскрытия информации, которая привела к развертыванию имплантационной структуры SLIVER Бишопа Фокса, варианта WARPWIRE и нового семейства вредоносных программ, которое Mandiant назвала TERRIBLETEA. На данный момент, основываясь на сходстве использования инфраструктуры, Mandiant с умеренной уверенностью подозревает, что UNC5266 частично совпадает с UNC3569, агентом шпионажа из Китая, который был замечен в использовании уязвимостей в Aspera Faspex, Microsoft Exchange и Oracle Web Applications Desktop Integrator, среди прочих, для получения первоначального доступа к целевым средам.

UNC5330

UNC5330 - подозреваемый в шпионаже между Китаем и Неаполем. UNC5330 был замечен в использовании цепочки CVE-2024-21893 и CVE-2024-21887 для компрометации устройств Ivanti Connect Secure VPN еще в феврале 2024 года. Посткомпрометирующая деятельность UNC5330 включает развертывание PHANTOMNET и TONERJAM. UNC5330 использовала инструменты управления Windows Management Instrumentation (WMI) для проведения разведки, перемещения в пространстве, манипулирования записями реестра и установления постоянства.

Mandiant заметила, что UNC5330 эксплуатирует сервер с 6 декабря 2021 года, который группа использовала в качестве прокси-сервера GOST, чтобы облегчить развертывание вредоносных инструментов на конечных устройствах. Сертификат по умолчанию для прокси-сервера GOST наблюдался с 1 сентября 2022 года по 1 января 2024 года. UNC5330 также пыталась загрузить Fast Reverse Proxy (FRP) с этого сервера 3 февраля 2024 года со взломанного устройства Ivanti Connect Secure. Учитывая повторное использование ключей SSH и временную близость этих событий, Mandiant с умеренной уверенностью считает, что UNC5330 работал через этот сервер как минимум с 2021 года.

UNC5330

UNC5337 - предполагаемый агент шпионажа из Китая, который взломал устройства Ivanti Connect Secure VPN еще в январе 2024 года. UNC5337 подозревается в использовании CVE-2023-46805 (обход аутентификации) и CVE-2024-21887 (внедрение команд) для заражения устройств Ivanti Connect Secure. UNC5337 использовал несколько семейств пользовательских вредоносных программ, включая пассивный бэкдор SPAWNSNAIL, туннелер SPAWNMOLE, установщик SPAWNANT и утилиту для подделки журналов SPAWNSLOTH. Mandiant со средней степенью уверенности подозревает, что UNC5337 - это UNC5221.

UNC5291

UNC5291 - это кластер целевой зондирующей активности, который, по нашим оценкам, с умеренной уверенностью связан с UNC3236, также известным под публичным названием Volt Typhoon. Активность в этом кластере началась в декабре 2023 года и была сосредоточена на Citrix Netscaler ADC, а затем переключилась на устройства Ivanti Connect Secure после того, как в середине января 2024 года были обнародованы подробности. Зондирование наблюдалось в академическом, энергетическом, оборонном и медицинском секторах, что соответствует прошлому интересу Volt Typhoon к критической инфраструктуре. В феврале 2024 года Агентство кибербезопасности и защиты инфраструктуры (CISA) выпустило предупреждение о том, что Volt Typhoon нацелен на критическую инфраструктуру и потенциально заинтересован в устройствах Ivanti Connect Secure для первоначального доступа.

Новые ТТП и вредоносные программы

Компания Mandiant выявила новые методы, используемые злоумышленниками для атаки на устройства Ivanti Connect Secure. С помощью анализа компрометированного устройства, Mandiant обнаружила четыре различных семейств вредоносных программ, которые работают вместе для создания незаметного бэкдора и обеспечения долгосрочного доступа. Эти семейства включают программу установки SPAWNANT, туннель SPAWNMOLE и бэкдор SPAWNSNAIL, который имеет возможность запуска другой утилиты, называемой SPAWNSLOTH. SPAWNSLOTH фальсифицирует журналы и блокирует их пересылку на внешний сервер syslog. Mandiant также обнаружила новую веб-оболочку, названную ROOTROT, которая внедряется в легитимный файл Connect Secure и может быть использована для получения доступа к системе. Эта веб-оболочка использует известные уязвимости CVE-2023-46805 и CVE-2024-21887.