Napadi nultog dana koji koriste ranjivost Ivanti Connect Secure (ICS) (CVE-2025-0282) objavljeni u srijedu prvi put su uočeni sredinom decembra 2024. godine, podijelili su istraživači Mandiant-a.
Još uvijek je nemoguće reći da li ih je montirao samo jedan hakere, ali korištenje poznatog malicioznog softvera na barem jednom od kompromitovanih VPN uređaja ukazuje na špijunaže u Kini-nexus – UNC5337 i UNC5221 – koji su iskoristili ICS nula – dana nekoliko puta u proteklih nekoliko godina.
“Mandiant ocjenjuje da bi branitelji trebali biti spremni za široko rasprostranjenu, oportunističku eksploataciju, vjerovatno ciljanje krendicijale i postavljanje web školjki kako bi se omogućio budući pristup. Osim toga, ako se kreiraju i puste eksploatacije dokaza o konceptu za CVE-2025-0282, Mandiant procjenjuje da je vjerovatno da bi dodatni hakeri mogli pokušati ciljati Ivanti Connect Secure uređaje,” naveli su istraživači .
Korištene tehnike i maliciozni softver
Analitičari kompanije Mandiant analizirali su kompromitovane ICS uređaje iz više organizacija i pronašli dokaze da ih napadači koriste za dalje izviđanje mreže (LDAP upiti) i bočno kretanje (do Active Directory servera).
Na jednom uređaju napadači su implementirali SPAWN familiju zlonamjernog softvera: SPAWNANT instalater, SPAWNMOLE tunel, SPAWNSNAIL SSH backdoor i SPAWNSLOTH uslužni program za neovlašteno mijenjanje dnevnika.
Na drugim uređajima koristili su dosad nezapaženi maliciozni softver, koji je Mandiant nazvao DRYHOOK (alat za krađu krendicijala) i PHASEJAM (bakač za web ljuske).
Prije nego što su pokušali da iskoriste CVE-2025-0282, napadači su ispitali ciljane uređaje u potrazi za informacijama o njihovoj verziji.
“Dok CVE-2025-0282 utiče na više nivoa zakrpe ICS izdanja 22.7R2, uspješna eksploatacija je specifična za verziju,” kaže Mandiant. “HTTP zahtjevi od VPS provajdera ili Tor mreža prema ovim URL-ovima, posebno u sekvencijalnom redoslijedu verzija, mogu ukazivati na izviđanje prije eksploatacije.”
Iskorištavanje ranjivosti općenito je slijedilo ove korake: Onemogućite SELinux -> Spriječite prosljeđivanje syslog-a -> Ponovo montirajte disk kao čitanje-pisanje -> Napišite i izvršite skriptu -> Postavite web ljusku(e) -> Uklonite određene unose dnevnika iz debug-a i aplikacije logovi -> Ponovo omogući SELinux -> Ponovo montirajte disk.
Skidači web ljuske modificiraju komponente ICS uređaja da vještačku web ljuske, blokiraju legitimne sistemske nadogradnje i simuliraju lažne i prepišu izvršnu datoteku kako bi je mogli iskoristiti za izvršavanje proizvoljnih naredbi. PHASEJAM web shell omogućava kontinuirani daljinski pristup i izvršavanje koda na kompromitovanim uređajima.
Simulirana ažuriranja sistema omogućavaju PHASEJAM i DRYHOOK postojanost. SPAWN familija zlonamjernog softvera ima svoj vlastiti mehanizam postojanosti, tako da se ne plaši niti blokira nadogradnje sistema. SPAWNANT instalater takođe ima način da zaobiđe interni alat za proveru integriteta uređaja (ICT) modifikacijom originalnog manifesta.
Konačno, brisanjem poruka kernela, čišćenjem dnevnika otklanjanja grešaka i aplikacija od grešaka i poruka o greškama koje su nastale tokom eksploatacije, i uklanjanjem izvršenih komandi iz dnevnika revizije SELinuxa, napadači pokušavaju da zamute vodu forenzičkim stručnjacima.
Ublažavanje i sanacija
Ivanti savjetuje kupce da koriste interni i eksterni alat za provjeru integriteta kako bi uočili maliciozni modifikacije svojih uređaja. Budući da ICT ne skenira u potrazi za zlonamjernim softverom ili drugim pokazateljima kompromitacije, korisnici bi trebali pokrenuti ICT u kombinaciji s drugim alatima za praćenje, također kaže kompanija.
Mandiant je podijelio pokazatelje kompromisa i YARA pravila za otkrivanje raznih malicioznih programa koje koriste napadači, te je istakao da će neuspješno skeniranje ICT-a (koje ukazuje na kompromis) pokazati samo nekoliko koraka koji su obavljeni i neće završiti stvaranjem arhivskog fajla sa rezultatima:
Neuspješno vanjsko ICT skeniranje (Izvor: Mandiant)
Blokirana ažuriranja sistema i mehanizmi postojanosti malicioznog softvera koje koristi maliciozni softver su razlog zašto Ivanti savjetuje da izvršite vraćanje na tvorničke postavke na pogođenim uređajima prije instaliranja verzije s popravkom.
CISA-in prethodni savjet američkim saveznim civilnim agencijama o tome kako se nositi s potencijalnom prijetnjom kompromitovanog uređaja takođe je od pomoći i pokazuje da vraćanje na tvorničke postavke i ponovna instalacija ne bi trebali biti kraj napora sanacije.
Izvor:Help Net Security