Višestruki hakeri sa vezama sa Kinom su povezani sa eksploatacijom nultog dana tri sigurnosne greške koje utiču na Ivanti uređaje (CVE-2023-46805, CVE-2024-21887 i CVE-2024-21893).
Mandiant prati klastere pod nazivima UNC5221, UNC5266, UNC5291, UNC5325, UNC5330 i UNC5337. Druga grupa povezana sa eksploatacijom je UNC3886.
Podružnica Google Clouda rekla je da je takođe primijetila finansijski motivisane hakere koji iskorištavaju CVE-2023-46805 i CVE-2024-21887, vjerovatno u pokušaju da izvode operacije rudarenja kriptovaluta.
“UNC5266 se djelimično preklapa sa UNC3569, špijunskim hakerom iz Kine koji je uočen kako iskorištava ranjivosti u Aspera Faspexu, Microsoft Exchangeu i Oracle Web Applications Desktop Integratoru, između ostalog, kako bi dobio početni pristup ciljanim okruženjima”, rekli su istraživači Mandiant-a.
Haker je povezan s aktivnostima nakon eksploatacije koje su dovele do implementacije Sliver komandnog i kontrolnog okvira (C2), varijante WARPWIRE kradljivaca akreditiva i novog backdoor-a zasnovanog na Go pod nazivom TERRIBLETEA koji dolazi s izvršavanjem komande, keyloggingom, skeniranjem portova, interakcijom sa sistemom datoteka i funkcijom snimanja ekrana.
UNC5330, koji je uočen kako kombinuje CVE-2024-21893 i CVE-2024-21887 za probijanje Ivanti Connect Secure VPN uređaja najmanje od februara 2024, koristi prilagođeni malver kao što su TONERJAM i PHANTOMNET za olakšavanje post-kompromisnih radnji
- PHANTOMNET – Modularni backdoor koji komunicira koristeći prilagođeni komunikativni protokol preko TCP-a i koristi sistem baziran na dodacima za preuzimanje i izvršavanje dodatnih korisnih podataka
- TONERJAM – Pokretač koji je dizajniran da dešifruje i izvršava PHANTOMNET
Osim što koristi Windows Management Instrumentation (WMI) za izviđanje, bočno kretanje, manipulisanje unosima u registry i uspostavljanje postojanosti, poznato je da UNC5330 kompromituje LDAP naloge za povezivanje konfigurisane na zaraženim uređajima kako bi pristupio administratoru domena.
Još jedan značajan špijunski haker povezan s Kinom je UNC5337, za koji se kaže da se infiltrirao na Ivanti uređaje već u januaru 2024. koristeći CVE-2023-46805 i CVE-2024 da isporuči prilagođeni skup alata za zlonamjerni softver poznat kao SPAWN koji se sastoji od četiri različite komponente koje rade u tandemu da funkcioniše kao prikriveni i uporni backdoor
- SPAWNSNAIL – Pasivni backdoor koji sluša na lokalnom hostu i opremljen je za pokretanje interaktivnog bash shella kao i za pokretanje SPAWNSLOTH
- SPAWNMOLE – Tuneler uslužni program koji je sposoban usmjeriti zlonamjerni promet na određeni host dok propušta benigni promet nepromijenjen na Connect Secure web server
- SPAWNANT – Instalater koji je odgovoran za osiguravanje postojanosti SPAWNMOLE-a i SPAWNSNAIL-a korištenjem prednosti funkcije coreboot instalatera
- SPAWNSLOTH – Program za manipulaciju logova koji onemogućuje evidentiranje i prosljeđivanje logova na vanjski syslog server kada je pokrenut implant SPAWNSNAIL
Mandiant je sa srednjom pouzdanošću procijenio da su UNC5337 i UNC5221 jedna te ista hakerska grupa, napominjući da je SPAWN alat „dizajniran da omogući dugotrajan pristup i izbjegne otkrivanje“.
UNC5221, koji se ranije pripisivao web shellovima kao što su BUSHWALK, CHAINLINE, FRAMESTING i LIGHTWIRE, također je pokrenuo Perl-bazirani web shell nazvan ROOTROT koji je ugrađen u legitimnu Connect Secure .ttc datoteku koja se nalazi na “/data/runtime /tmp/tt/setcookie.thtml.ttc” iskorištavanjem CVE-2023-46805 i CVE-2024-21887.
Uspješno postavljanje web shella praćeno je izviđanjem mreže i bočnim pomicanjem, u nekim slučajevima, što rezultuje kompromitacijom vCenter servera u mreži žrtve pomoću Golang backdoor-a zvanog BRICKSTORM.
“BRICKSTORM je Go backdoor koji cilja na VMware vCenter servere”, objasnili su istraživači Mandiant-a. “Podržava mogućnost da se postavi kao web server, izvrši manipulaciju sistemom datoteka i direktorijuma, izvrši operacije datoteka kao što je upload/download, pokrene shell komande i izvrši prenošenje SOCKS-a.”
Posljednja među pet grupa sa sjedištem u Kini koje su povezane sa zloupotrebom Ivantijevih sigurnosnih nedostataka je UNC5291, za koju Mandiant kaže da je vjerovatno povezana s drugom hakerskom grupom UNC3236 (poznatom kao Volt Typhoon), prvenstveno zbog njenog ciljanja na akademske, energetske, obrambene i zdravstvene sektore.
“Aktivnost za ovaj klaster počela je u decembru 2023. fokusirajući se na Citrix Netscaler ADC, a zatim je prebačena na Ivanti Connect Secure uređaje nakon što su detalji objavljeni sredinom januara 2024.”, rekli su iz kompanije.
Nalazi još jednom naglašavaju pretnju koju predstavljaju uređaji na ivici mreže, pri čemu akteri špijunaže koriste kombinaciju propusta nultog dana, alata otvorenog koda i prilagođenih pozadinskih vrata kako bi prilagodili svoje vještine zavisno od svojih ciljeva, izbegavajući otkrivanje tokom produženih vremenskih perioda.