По меньшей мере пять разнообразных вредоносных программ были задействованы, предположительно государственными хакерами для проникновения в сети компаний через уязвимости Zero-Day в VPN-устройствах Ivanti Connect Secure (ICS). Об этом сообщает ресурс Mandiant.

Атаки начались в начале декабря 2023 года.

Согласно информации от Mandiant, группа UNC5221 использовала вредоносные программы для обхода систем аутентификации и получения скрытого доступа к устройствам. Для взлома уязвимых устройств хакеры использовали цепочку эксплойтов, включая уязвимость обхода аутентификации (CVE-2023-46805) и уязвимость внедрения кода (CVE-2024-21887), найденных в продуктах Ivanti Connect Secure и Policy Secure.

Volexity, которая связывает эту активность с китайской шпионской группой UTA0178, ранее указывала, что уязвимости позволяют получить первичный доступ, установить веб-шеллы, внедрить бэкдоры в легитимные файлы, собрать учетные данные и файлы конфигурации, а также проникнуть дальше во внутренние сети жертв.

По заявлению Ivanti, менее 10 клиентов подверглись атаке, что говорит о целевом характере кампании. Ожидается, что патчи для двух уязвимостей (неофициально названных ConnectAround исследователем безопасности Кевином Бьюмонтом) будут выпущены на следующей неделе.

Анализ Mandiant выявил, что злоумышленники использовали пять различных вредоносных программ. Они также внедряли вредоносный код в легитимные файлы в системах ICS и использовали такие инструменты, как BusyBox (набор UNIX-утилит командной строки) и PySoxy (прокси-сервер SOCKS5).

Эксперты отмечают, что из-за особенностей файловой системы некоторых устройств хакеры использовали Perl-скрипт для изменения прав доступа и развертывания вредоносных программ. Основными инструментами для сохранения доступа к взломанным системам стали веб-шеллы LIGHTWIRE и WIREFIRE. Также использовался вредонос WARPWIRE на основе JavaScript для сбора учетных данных и бэкдор ZIPLINE, который способен загружать/выгружать файлы, устанавливать Reverse Shell, создавать прокси-сервер и настраивать тунелирование сети для распределения трафика между несколькими конечными точками.

Хотя UNC5221 пока не ассоциирована ни с одной известной группировкой, методы группы указывают на продвинутую постоянную угрозу. Использование уязвимостей нулевого дня и скрытой инфраструктуры характерно для правительственных хакеров. Деятельность UNC5221 демонстрирует, что атака периметра сетей остается привлекательной целью для шпионских группировок.

Источник: Mandiant