Ivanti Connect Secure 零日漏洞被用来部署自定义恶意软件

更多全球网络安全资讯尽在邑安全

自 12 月初以来，黑客一直在利用披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。

这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。

与 Ivanti 合作调查该事件的Mandiant的一份报告 指出，攻击背后的威胁行为者从事间谍活动，目前在内部追踪为 UNC5221。

今天，威胁监控服务 Shadowserver在 X 上发布消息称，其扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。

然而，没有迹象表明其中有多少人容易受到攻击。

部署的恶意软件

Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。

以下是攻击中使用的工具的摘要：

• Zipline Passive Backdoor：自定义恶意软件，可以拦截网络流量，支持上传/下载操作，创建反向 shell、代理服务器、服务器隧道
• Thinspool Dropper：自定义 shell 脚本 dropper，将 Lightwire Web shell 写入 Ivanti CS，确保持久性
• Wirefire Web shell：基于 Python 的自定义 Web shell，支持未经身份验证的任意命令执行和负载删除
• Lightwire Web shell：嵌入合法文件中的自定义 Perl Web shell，可实现任意命令执行
• Warpwire harverster：基于 JavaScript 的自定义工具，用于在登录时收集凭据，并将其发送到命令和控制（C2）服务器
• PySoxy 隧道器：促进网络流量隧道的隐蔽性
• BusyBox：多调用二进制文件，结合了各种系统任务中使用的许多 Unix 实用程序
• Thinspool 实用程序 (sessionserver.pl)：用于将文件系统重新挂载为“读/写”以启用恶意软件部署

X的Mandiant 安全研究员表示：“ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理”。

Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。

Volexity 此前曾报道称，有迹象表明这些攻击是由中国国家支持的威胁行为者发起的。然而，Mandiant 的报告没有做出任何归属，也没有提供有关威胁行为者的潜在来源或从属关系的信息。

谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。

即使没有归属，使用提供持续访问的自定义恶意软件表明，即使在补丁可用之后，“UNC5221 仍打算在高优先级目标的子集上保持存在”。

Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。

提醒系统管理员，目前没有解决这两个零日漏洞的安全更新，但 Ivanti 提供了应立即实施的缓解措施。

原文来自:thehackernews.com

原文链接:https://www.bleepingcomputer.com/news/security/ivanti-connect-secure-zero-days-exploited-to-deploy-custom-malware/

原文始发于微信公众号（邑安全）：Ivanti Connect Secure 零日漏洞被用来部署自定义恶意软件