10 апреля 2024 года компания Volexity обнаружила использование уязвимости нулевого дня в функции GlobalProtect в PAN-OS компании Palo Alto Networks у одного из своих клиентов по мониторингу сетевой безопасности (NSM). Уязвимость была подтверждена как проблема инъекции команд ОС и получила номер CVE-2024-3400. Проблема представляет собой уязвимость удаленного выполнения кода без аутентификации с базовой оценкой CVSS 10.0.
Атакующий, которого компания Volexity отслеживает под псевдонимом UTA0218, смог удаленно воспользоваться устройством межсетевого экрана, создать обратную оболочку и загрузить на устройство дополнительные инструменты. Атакующий сосредоточился на экспорте конфигурационных данных с устройств, а затем использовал их в качестве точки входа для перемещения внутри организаций-жертв. В ходе расследования компания Volexity заметила, что UTA0218 пытался установить на брандмауэр пользовательский бэкдор на языке Python, который Volexity называет UPSTYLE. Бэкдор UPSTYLE позволяет злоумышленнику выполнять дополнительные команды на устройстве через специально созданные сетевые запросы.
Было замечено, что UTA0218 использует устройства межсетевого экрана для успешного развертывания вредоносной полезной нагрузки. После успешной эксплуатации устройств UTA0218 загружал дополнительные инструменты с контролируемых им удаленных серверов, чтобы облегчить доступ к внутренним сетям жертв. Они быстро перемещались по сетям жертв, извлекая конфиденциальные учетные данные и другие файлы, которые позволяли получить доступ во время и, возможно, после вторжения. Мастерство и скорость, с которыми действовал злоумышленник, указывают на то, что перед ним высококвалифицированный специалист, имеющий четкое представление о том, к чему нужно получить доступ для достижения своих целей. Вероятно, эксплуатация устройства брандмауэра, а затем действия с клавиатурой были ограниченными и целенаправленными. Тем не менее, на момент написания статьи имеются свидетельства потенциальной разведывательной деятельности, включающей более широкую эксплуатацию, направленную на выявление уязвимых систем.
Indicators of Compromise
IPv4
- 172.233.228.93
URLs
- http://172.233.228.93/lowdp
- http://172.233.228.93/policy
- http://172.233.228.93/vpn.log
- http://172.233.228.93/vpn_prot.gz
MD5
- 089801d87998fa193377b9bfe98e87ff
- 0c1554888ce9ed0da1583dbdf7b31651
- 12b5e30c2276664e87623791085a3221
- 5e4c623296125592256630deabdbf1d2
- 724c8059c150b0f3d1e0f80370bcfe19
- 87312a7173889a8a5258c68cac4817bd
- a43e3cf908244f85b237fdbacd8d82d5
- b9f5e9db9eec8d1301026c443363cf6b
- d31ec83a5a79451a46e980ebffb6e0e8
SHA1
- 3ad9be0c52510cbc5d1e184e0066d14c1f394d4d
- 4ad043c8f37a916761b4c815bed23f036dfb7f77
- 5592434c40a30ed2dfdba0a86832b5f2eaaa437c
- 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9
- a7c6f264b00d13808ceb76b3277ee5461ae1354e
- d12b614e9417c4916d5c5bb6ee42c487c937c058
- d7a8d8303361ffd124cb64023095da08a262cab4
- e1e427c9b46064e2b483f90b13490e6ef522cc06
- ef8036eb4097789577eff62f6c9580fa130e7d56
- f99779a5c891553ac4d4cabf928b2121ca3d1a89
SHA256
- 161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6
- 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c
- 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
- 448fbd7b3389fe2aa421de224d065cea7064de0869a036610e5363c931df5b7c
- 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8
- 96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9
- adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87
- c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9
- e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8
- fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7