自 12月初以来,黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。
这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887,允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示,攻击者针对的是少数客户。
与 Ivanti 合作调查该事件的Mandiant的一份报告指出,攻击背后的攻击者从事间谍活动,目前在内部追踪为 UNC5221。
Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备,其中大部分位于美国。
攻击面的影响范围
部署的恶意软件
Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具,其中包括五种自定义恶意软件,用于植入 Webshell、执行命令、删除有效负载和窃取凭据。
以下是攻击中使用的工具的摘要:
- Zipline Passive Backdoor:自定义恶意软件,可以拦截网络流量,支持上传/下载操作,创建反向 shell、代理服务器、服务器隧道
- Thinspool Dropper:自定义 shell 脚本 dropper,将 Lightwire Web shell 写入 Ivanti CS,确保持久性
- Wirefire Web shell:基于 Python 的自定义 Web shell,支持未经身份验证的任意命令执行和负载删除
- Lightwire Web shell:嵌入合法文件中的自定义 Perl Web shell,可实现任意命令执行
- Warpwire harverster:基于 JavaScript 的自定义工具,用于在登录时收集凭据,并将其发送到命令和控制(C2)服务器
- PySoxy 隧道器:促进网络流量隧道的隐蔽性
- BusyBox:多调用二进制文件,结合了各种系统任务中使用的许多 Unix 实用程序
- Thinspool 实用程序 (sessionserver.pl):用于将文件系统重新挂载为“读/写”以启用恶意软件部署
“ZIPLINE 是这些家族中最著名的一个,它是一个被动后门,可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。
Zipline (Mandiant)支持的命令
Mandiant 还发现,攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器,并将其位置设置在与目标相同的区域,以逃避检测。
Volexity 此前曾报道称,有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属,也没有提供有关该黑客组织的潜在来源或从属关系的信息。
谷歌公司表示,没有足够的数据来自信地评估 UNC5221 的来源,并指出其活动与任何先前已知的威胁组织无关。
Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。
安全专家提醒系统管理员,目前没有解决这两个0day漏洞的安全更新,Ivanti 提供了应立即实施的缓解措施。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg
封面来源于网络,如有侵权请联系删除