Компания Mandiant и Ivanti проводят расследование масштабной эксплуатации уязвимостей в продуктах Ivanti, включая сектор оборонно-промышленной базы. Обнаружено, что эксплуатирующие уязвимости субъекты связаны с Китаем. Уязвимости используют методы live-off-the-land (LotL) для уклонения от обнаружения и развертки новых вредоносных программ.
Компания Ivanti рекомендует своим клиентам принять меры по обеспечению защиты и предоставляет новую версию инструмента проверки внешней целостности. Было раскрыто пять уязвимостей, затрагивающих продукты Ivanti Connect Secure. Один из способов эксплуатации уязвимостей, известный как CVE-2024-21893, был описан и был устранен в исправлениях, выпущенных 31 января. Также была обнаружена дополнительная уязвимость CVE-2024-22024, связанная с XXE, которая позволяет злоумышленникам получить доступ к ограниченным ресурсам на устройствах. Идентифицированы китайские операторы кибершпионажа (UNC5325 и UNC3886), которые использовали данные уязвимости для своих целей. Обнаружены новые тактики, методы и процедуры злоумышленников, а также новые вредоносные программы, используемые для хищения данных и поддержания доступа к устройствам.
Indicators of Compromise
MD5
- 2ddeca6511506fe435dc1f63b4cf061c
- 31a591a28198f05e9ab4d12609a9ce81
- 5368b1122c10fa7850f44d3e16fc18fb
- 5f561f217a8046de8cadf418ef4dfda0
- 6c58b8b1e3b36a5a124afd110c109ebc
- 8c4b32e8ee9e0b2f8dab01364971ffff
- 9e0941c4851d414b5d25dd15872c3e47
- b76d7890a7a7ff6d0b1151a8251e318f
- e33a3a90f1f8fa6d8f17bc6151b027d6
- e48716521dc48425feae71bc9dc768cd
- e4fe3a314a3aee5aee9c55787a33671c
- f64a799ff16aded3f4d6706ffbd7e6dd
- fb973c8bbfdba234ea83ee20084dcac9
- fd83b3e9db57838b62c5baf8218ce5a8
YARA Rules
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | rule M_Launcher_PITDOG_1 { meta: author = "Mandiant" description = "This rule is designed to detect on events related to PITDOG." strings: $str2 = "cat /proc/%d/maps | grep mem.rd" $str3 = "/data/runtime/cockpit/memorysCounter -p %d /data/runtime/cockpit/mem.rd" $str4 = "rm -f /data/runtime/cockpit/wd.lock" $str5 = "/data/runtime/cockpit/dsAgent" $str6 = "watchdog" $str7 = "ps aux|grep '/home/bin/web'|grep -v grep | awk '{if (NR!=1) {print $2}}'" condition: uint32(0) == 0xBEBAFECA and all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule M_Utility_PITHOOK_1 { meta: author = " Mandiant" description = "This rule is designed to detect on events related to PITHOOK." strings: $str1 = "/data/runtime/cockpit/wd.fd" $str2 = "/proc/self/maps" $str3 = "plthook_open" $str4 = "plthook_replace" $str5 = "plthook_close" $str6 = "plthook_open_by_handle" $str7 = "plthook_open_by_address" $str8 = "plthook_enum" $str9 = "plthook_error" $str10 = "accept4_hook" condition: uint32(0) == 0x464C457F and all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | rule M_Hunting_Webshell_BUSHWALK_1 { meta: author = "Mandiant" description = "This rule detects BUSHWALK, a webshell written in Perl CGI that is embedded into a legitimate Pulse Secure file to enable file transfers" strings: $s1 = "SafariiOS" ascii $s2 = "command" ascii $s3 = "change" ascii $s4 = "update" ascii $s5 = "$data = RC4($key, $data);" ascii condition: filesize < 5KB and all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 | rule M_Hunting_Launcher_PITFUEL_1 { meta: author = "Mandiant" description = "This rule detects class used in PITFUEL, a malicious JAR-based launcher that loads malicious code" strings: $h1 = {50 4B 03 04} $s1 = "com/toremote/gateway/plugin/PluginManager.class" condition: $h1 at 0 and for any i in (0..#h1): ($s1 in (@h1[i]..@h1[i]+80)) } |
