Mandiant 报告:Ivanti 0day 漏洞被未明确归属的 APT 组织用来部署后门

自 12月初以来,黑客一直在利用本周披露的 Ivanti Connect Secure 中的两个零日漏来部署多个定制恶意软件系列以用于间谍目的。

这些安全问题被标识为CVE-2023-46805 和 CVE-2024-21887,允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示,攻击者针对的是少数客户。

与 Ivanti 合作调查该事件的Mandiant的一份报告指出,攻击背后的攻击者从事间谍活动,目前在内部追踪为 UNC5221。

Shadowserver扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备,其中大部分位于美国。

640

攻击面的影响范围

部署的恶意软件

Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具,其中包括五种自定义恶意软件,用于植入 Webshell、执行命令、删除有效负载和窃取凭据。

以下是攻击中使用的工具的摘要:

  1. Zipline     Passive Backdoor:自定义恶意软件,可以拦截网络流量,支持上传/下载操作,创建反向 shell、代理服务器、服务器隧道
  2. Thinspool     Dropper:自定义     shell 脚本 dropper,将 Lightwire Web shell 写入 Ivanti CS,确保持久性
  3. Wirefire     Web shell:基于 Python 的自定义 Web shell,支持未经身份验证的任意命令执行和负载删除
  4. Lightwire     Web shell:嵌入合法文件中的自定义 Perl Web shell,可实现任意命令执行
  5. Warpwire     harverster:基于 JavaScript 的自定义工具,用于在登录时收集凭据,并将其发送到命令和控制(C2)服务器
  6. PySoxy     隧道器:促进网络流量隧道的隐蔽性
  7. BusyBox:多调用二进制文件,结合了各种系统任务中使用的许多     Unix 实用程序
  8. Thinspool     实用程序 (sessionserver.pl):用于将文件系统重新挂载为“读/写”以启用恶意软件部署

“ZIPLINE 是这些家族中最著名的一个,它是一个被动后门,可以劫持 libsecure\.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理。 ”Mandiant 安全研究员表示。

微信图片_20240115104056

Zipline (Mandiant)支持的命令

Mandiant 还发现,攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器,并将其位置设置在与目标相同的区域,以逃避检测。

Volexity 此前曾报道称,有迹象表明这些攻击是由某国背景的黑客组织发起。Mandiant 的报告没有明确任何归属,也没有提供有关该黑客组织的潜在来源或从属关系的信息。

谷歌公司表示,没有足够的数据来自信地评估 UNC5221 的来源,并指出其活动与任何先前已知的威胁组织无关。

Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。

安全专家提醒系统管理员,目前没有解决这两个0day漏洞的安全更新,Ivanti 提供了应立即实施的缓解措施


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/MLzP72_NsdOZnGE8iFO0gg

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容