Неизвестная сила
Хакеры, работающие на спецслужбы различных государств, активно эксплуатируют сравнительно свежие уязвимости в VPN-устройствах Ivanti Connect Secure (ICS). Выявлены уже пять семейств вредоносных программ, эксплуатирующих две критические уязвимости в ICS, обнаруженные в декабре прошлого года.
«Данные вредоносы позволяют устанавливать бэкдоры (тайные "входы" для хакеров) в эти устройства», - говорится в отчете фирмы Mandiant. По ее данным, все эти программы были созданы одним и тем же APT-актором (advanced packaging tool или софт для установки, обновления и удаления программных пакетов), получившим условное обозначение UNC5221.
В свою очередь, фирма Volexity приписывает атаки кибершпионской группе UTA0178, предположительно работающей на власти Китая.
Уязвимости, о которых идет речь, позволяют обходить авторизацию (CVE-2023-46805) и производить инъекцию кода (CVE-2024-21887). Тем самым открываются возможности для осуществления любых вредоносных действий в среде уязвимых устройств. По данным Volexity, комбинация из этих уязвимостей, использовалась для получения первичного доступа, установки веб-шеллов (оболочка для удаленного управления веб-сервером), внедрения бэкдоров в легитимные файлы, перехвата реквизитов доступа и данных об установках и дальнейшего продвижения по внутренним ресурсам жертвы.
Атаки носили узконаправленный характер: по данным Ivanti, пострадали менее 20 клиентов, использующих ICS. В изначальном сообщении, правда, говорилось только про 10 клиентов. Нельзя исключать, что цифра в дальнейшем вырастет.
Просрочка
Патчей к выявленным уязвимостям еще нет, хотя даже на момент обнаружения эти «баги» уже, по-видимому, вовсю эксплуатировались. Ivanti обещают выпустить патчи 22 января 2024 г.
«Довольно странно, что они так долго не могут выпустить обновления для уязвимостей, которые уже эксплуатируются и эксплуатируются успешно», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, атаки носят узконаправленный характер и число жертв невелико, но уязвимости выявлены в устройствах, которые призваны обеспечивать защиту инфраструктуры, а не служить входной точкой для кибервзломщиков. «Ivanti в этой ситуации выглядит не лучшим образом», - подытожила Анастасия Мельникова.
Пять на две
Согласно результатам анализа Mandiant, хакеры атакуют ICS сразу пятью различными семействами вредоносов, а также легитимными утилитами BusyBox и PySoxy для осуществления последующих атак.
«Поскольку определенные секции [программных оболочек] устройств защищены от записи, UNC5221 используют скрипт, написанный на Perl (sessionserver.pl) для того, чтобы перемонтировать файловую систему, разрешить в ней и чтение, и запись, и осуществить развертывание THINSPOOL, дроппера шелл-скриптов, который вписывает веб-шелл LIGHTWIRE в легитимный файл Connect Secure.», - говорится в анализе.
LIGHTWIRE - один из двух выявленных веб-шеллов, которыми пользуются киберпреступники, а вторым является WIREFIRE. Они используются для обеспечения длительного удаленного доступа к скомпрометированному устройству. Первый написан на Perl CGI, а второй - на Python.
Кроме них используются написанный на JavaScript вредонос WARPWIRE, крадущий реквизиты доступа, и пассивный бэкдор ZIPLINE, который используется для скачивания и загрузки файлов, установки обратного шелла, создания прокси-серверов и установки туннелированного сервера для осуществления обмена трафиком между конечными точками.
В Mandiant утверждают, что им пока не удалось осуществить атрибуцию атак (оценка риска для организации и предоставление аналитических данных о преступниках и их мотивах), но изученная к настоящему времени инфраструктура обладает всеми признаками, характерными для APT-группировок.
Поделиться
