Компания Mandiant, принадлежащая Google, заявила, что выявила новое вредоносное ПО, использованное китайским агентом по угрозам шпионажа nexus, известным как UNC5221, и другими группами угроз во время постэксплуатационной активности, нацеленной на устройства Ivanti Connect Secure VPN и Policy Secure.
Сюда входят пользовательские веб-оболочки, такие как BUSHWALK, CHAINLINE, FRAMESTING и вариант LIGHTWIRE.
"CHAINLINE - это бэкдор Python web shell, встроенный в пакет Ivanti Connect Secure Python, который позволяет выполнять произвольные команды", - сказали в компании, приписав его UNC5221, добавив, что также обнаружено несколько новых версий WARPWIRE, средства для кражи учетных данных на основе JavaScript.
Цепочки заражений включают успешное использование CVE-2023-46805 и CVE-2024-21887, которые позволяют субъекту угрозы, не прошедшему проверку подлинности, выполнять произвольные команды на устройстве Ivanti с повышенными привилегиями.
С начала декабря 2023 года уязвимости использовались как нулевые дни. Федеральное управление информационной безопасности Германии (BSI) заявило, что ему известно о "множестве скомпрометированных систем" в стране.
BUSHWALK, написанный на Perl и внедренный в обход выпущенных Ivanti средств защиты при высоконаправленных атаках, встроен в законный файл безопасности Connect с именем "querymanifest.cgi" и предлагает возможность чтения или записи файлов на сервер.
С другой стороны, FRAMESTING - это веб-оболочка Python, встроенная в пакет Ivanti Connect Secure Python (расположен по следующему пути "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py"), которая позволяет выполнять произвольные команды.
Анализ пассивного бэкдора ZIPLINE, проведенный Mandiant, также выявил использование им "обширных функциональных возможностей для обеспечения аутентификации по пользовательскому протоколу, используемому для установления командования и контроля (C2)".
Кроме того, атаки характеризуются использованием утилит с открытым исходным кодом, таких как Impacket, CrackMapExec, yodode и Enum4linux, для поддержки постэксплуатационной активности на устройствах Ivanti CS, включая разведку сети, боковое перемещение и эксфильтрацию данных в среде жертвы.
С тех пор Ivanti раскрыла еще две уязвимости в системе безопасности, CVE-2024-21888 и CVE-2024-21893, последняя из которых активно эксплуатировалась, ориентируясь на "ограниченное число клиентов". Компания также выпустила первый пакет исправлений для устранения четырех уязвимостей.
Говорят, что UNC5221 нацелен на широкий спектр отраслей, представляющих стратегический интерес для Китая, при этом его инфраструктура и инструментарий пересекаются с прошлыми вторжениями, связанными с базирующимися в Китае субъектами шпионской деятельности.
"Инструменты на базе Linux, выявленные в ходе расследований реагирования на инциденты, используют код из нескольких репозиториев Github на китайском языке", - сказал Мандиант. "UNC5221 в значительной степени использовал TTP, связанные с эксплуатацией пограничной инфраструктуры в течение нулевого дня подозреваемыми участниками PRC nexus".
