Pesquisadores identificam vários grupos de hackers na China que exploram falhas de segurança da Ivanti

Vários atores de ameaças do nexo da China foram associados à exploração de dia zero de três falhas de segurança que afetam os dispositivos Ivanti (CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893).

Os clusters estão sendo rastreados pela Mandiant sob os nomes UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 e UNC5337. Outro grupo ligado à onda de exploração é o UNC3886.

A subsidiária do Google Cloud disse que também observou atores com motivação financeira explorando CVE-2023-46805 e CVE-2024-21887, provavelmente em uma tentativa de conduzir operações de mineração de criptomoedas.

“UNC5266 se sobrepõe em parte ao UNC3569, um ator de espionagem do nexo chinês que foi observado explorando vulnerabilidades no Aspera Faspex, Microsoft Alternate e Oracle Internet Functions Desktop Integrator, entre outros, para obter acesso inicial aos ambientes alvo”, disseram os pesquisadores da Mandiant.

O ator da ameaça foi vinculado a atividades pós-exploração que levaram à implantação da estrutura de comando e controle (C2) Sliver, uma variante do ladrão de credenciais WARPWIRE e um novo backdoor baseado em Go chamado TERRIBLETEA que vem com execução de comando , keylogging, varredura de portas, interação com sistema de arquivos e funções de captura de tela.

UNC5330, que foi observado combinando CVE-2024-21893 e CVE-2024-21887 para violar dispositivos Ivanti Join Safe VPN pelo menos desde fevereiro de 2024, aproveitou malware personalizado como TONERJAM e PHANTOMNET para facilitar ações pós-comprometimento –

• FANTASMA – Um backdoor modular que se comunica usando um protocolo de comunicação personalizado sobre TCP e emprega um sistema baseado em plug-in para baixar e executar cargas adicionais
• TONER – Um iniciador projetado para descriptografar e executar o PHANTOMNET

Além de usar o Home windows Administration Instrumentation (WMI) para realizar reconhecimento, mover-se lateralmente, manipular entradas de registro e estabelecer persistência, o UNC5330 é conhecido por comprometer contas de ligação LDAP configuradas nos dispositivos infectados para obter acesso de administrador de domínio.

Outro notável ator de espionagem ligado à China é o UNC5337, que supostamente se infiltrou nos dispositivos da Ivanti já em janeiro de 2024 usando CVE-2023-46805 e CVE-2024 para fornecer um conjunto de ferramentas de malware personalizado conhecido como SPAWN, que compreende quatro componentes distintos que funcionam em conjunto para funcionar como um backdoor furtivo e persistente –

• ESPANHA – Um backdoor passivo que escuta no host native e está equipado para iniciar um shell bash interativo, bem como iniciar o SPAWNSLOTH
• SPAWNMOLE – Um utilitário tunelador capaz de direcionar tráfego malicioso para um host específico enquanto passa tráfego benigno não modificado para o servidor internet Join Safe
• Eles geram – Um instalador responsável por garantir a persistência de SPAWNMOLE e SPAWNSNAIL aproveitando a função do instalador coreboot
• PAWNSLOTH – Um programa de violação de log que desativa o registro e o encaminhamento de log para um servidor syslog externo quando o implante SPAWNSNAIL está em execução

A Mandiant avaliou com confiança média que UNC5337 e UNC5221 são o mesmo grupo de ameaças, observando que a ferramenta SPAWN foi “projetada para permitir acesso de longo prazo e evitar detecção”.

UNC5221, que foi anteriormente atribuído an online shells como BUSHWALK, CHAINLINE, FRAMESTING e LIGHTWIRE, também lançou um internet shell baseado em Perl conhecido como ROOTROT que está incorporado em um arquivo Join Safe .ttc legítimo localizado em “/knowledge/runtime /tmp/tt/setcookie.thtml.ttc” explorando CVE-2023-46805 e CVE-2024-21887.

Uma implantação bem-sucedida do internet shell é seguida por reconhecimento de rede e movimentação lateral, em alguns casos, resultando no comprometimento de um servidor vCenter na rede da vítima por meio de um backdoor Golang chamado BRICKSTORM.

“BRICKSTORM é um backdoor Go direcionado a servidores VMware vCenter”, explicaram os pesquisadores da Mandiant. “Ele suporta a capacidade de configurar-se como um servidor internet, executar sistema de arquivos e manipulação de diretórios, executar operações de arquivos como add/obtain, executar comandos shell e executar retransmissão SOCKS.”

O último entre os cinco grupos baseados na China ligados ao abuso das falhas de segurança da Ivanti é o UNC5291, que Mandiant disse que provavelmente tem associações com outro grupo de hackers UNC3236 (também conhecido como Volt Hurricane), principalmente devido ao seu direcionamento para áreas acadêmicas, de energia, de defesa e setores da saúde.

“A atividade para este cluster começou em dezembro de 2023 com foco no Citrix Netscaler ADC e depois mudou para se concentrar em dispositivos Ivanti Join Safe depois que os detalhes foram tornados públicos em meados de janeiro de 2024”, disse a empresa.

As descobertas sublinham mais uma vez a ameaça enfrentada pelos dispositivos de ponta, com os intervenientes na espionagem a utilizar uma combinação de falhas de dia zero, ferramentas de código aberto e backdoors personalizados para adaptar o seu trabalho de acordo com os seus alvos para evitar a deteção durante longos períodos de tempo.