Múltiples actores de amenazas del nexo con China han sido vinculados a la explotación de día cero de tres fallas de seguridad que afectan a los dispositivos Ivanti (CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893). Mandiant realiza un seguimiento de los grupos bajo los apodos no categorizados UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 y UNC5337. También anteriormente vinculado a la ola de explotación está un equipo de piratería chino llamado UNC3886, cuyo oficio se destaca por convertir errores de día cero en Fortinet y VMware como armas para violar las redes objetivo. La filial de Google Cloud dijo que también ha observado actores con motivación financiera que explotan CVE-2023-46805 y CVE-2024-21887, probablemente en un intento de realizar operaciones de minería de criptomonedas. «UNC5266 se superpone en parte con UNC3569, un actor de espionaje del nexo con China que se ha observado explotando vulnerabilidades en Aspera Faspex, Microsoft Exchange y Oracle Web Applications Desktop Integrator, entre otros, para obtener acceso inicial a los entornos de destino», dijeron los investigadores de Mandiant. El actor de amenazas ha sido vinculado a una actividad posterior a la explotación que condujo al despliegue del marco de comando y control (C2) de Sliver, una variante del ladrón de credenciales WARPWIRE y una nueva puerta trasera basada en Go denominada TERRIBLETEA que viene con la ejecución de comandos. , registro de teclas, escaneo de puertos, interacción del sistema de archivos y funciones de captura de pantalla. UNC5330, que se ha observado combinando CVE-2024-21893 y CVE-2024-21887 para violar los dispositivos Ivanti Connect Secure VPN al menos desde febrero de 2024, ha aprovechado malware personalizado como TONERJAM y PHANTOMNET para facilitar acciones posteriores al compromiso – PHANTOMNET – A puerta trasera modular que se comunica mediante un protocolo de comunicación personalizado a través de TCP y emplea un sistema basado en complementos para descargar y ejecutar cargas útiles adicionalesTONERJAM: un iniciador diseñado para descifrar y ejecutar PHANTOMNET Además de utilizar el Instrumental de administración de Windows (WMI) para realizar reconocimiento, moverse lateralmente y manipular entradas de registro y establecer persistencia, se sabe que UNC5330 compromete las cuentas de enlace LDAP configuradas en los dispositivos infectados para obtener acceso de administrador de dominio. Otro actor de espionaje notable vinculado a China es UNC5337, que se dice que se infiltró en dispositivos Ivanti ya en enero de 2024 utilizando CVE-2023-46805 y CVE-2024 para entregar un conjunto de herramientas de malware personalizado conocido como SPAWN que comprende cuatro componentes distintos que funcionan en tándem para funcionar como una puerta trasera sigilosa y persistente: SPAWNSNAIL: una puerta trasera pasiva que escucha en el host local y está equipada para iniciar un shell bash interactivo, así como para iniciar SPAWNSLOTHSPAWNMOLE: una utilidad de tunelización que es capaz de dirigir tráfico malicioso a un host específico mientras pasa datos benignos. tráfico sin modificar al servidor web Connect Secure SPAWNANT: un instalador que es responsable de garantizar la persistencia de SPAWNMOLE y SPAWNSNAIL aprovechando una función de instalación de arranque central SPAWNSLOTH: un programa de manipulación de registros que deshabilita el registro y el reenvío de registros a un servidor syslog externo cuando el implante SPAWNSNAIL está Mandiant en ejecución ha evaluado con confianza media que UNC5337 y UNC5221 son el mismo grupo de amenazas, señalando que la herramienta SPAWN está «diseñada para permitir el acceso a largo plazo y evitar la detección». UNC5221, que anteriormente se atribuía a shells web como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE, también ha desatado un shell web basado en Perl denominado ROOTROT que está integrado en un archivo .ttc legítimo de Connect Secure ubicado en «/data/runtime /tmp/tt/setcookie.thtml.ttc» explotando CVE-2023-46805 y CVE-2024-21887. Una implementación exitosa del shell web es seguida por un reconocimiento de la red y un movimiento lateral, lo que en algunos casos resulta en el compromiso de un servidor vCenter en la red víctima por medio de una puerta trasera de Golang llamada BRICKSTORM. «BRICKSTORM es una puerta trasera Go dirigida a servidores VMware vCenter», explicaron los investigadores de Mandiant. «Admite la capacidad de configurarse como un servidor web, realizar manipulación de directorios y sistemas de archivos, realizar operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar retransmisión SOCKS». El último de los cinco grupos con sede en China vinculados al abuso de las fallas de seguridad de Ivanti es UNC5291, que según Mandiant probablemente tiene asociaciones con otro grupo de piratería informática UNC3236 (también conocido como Volt Typhoon), principalmente debido a que apunta a sectores académicos, energéticos, de defensa y sectores de salud. «La actividad de este clúster comenzó en diciembre de 2023 centrándose en Citrix Netscaler ADC y luego pasó a centrarse en los dispositivos Ivanti Connect Secure después de que los detalles se hicieran públicos a mediados de enero de 2024», dijo la compañía. Los hallazgos subrayan una vez más la amenaza que enfrentan los dispositivos de punta, ya que los actores de espionaje utilizan una combinación de fallas de día cero, herramientas de código abierto y puertas traseras personalizadas para adaptar su oficio en función de sus objetivos para evadir la detección durante períodos prolongados. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
