Volt Typhoon 和其他 4 个组织通过 Ivanti 漏洞瞄准美国能源和国防部门

包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。

美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告（标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893），因为这些漏洞存在于世界各地的政府网络。

在周四发布的一份报告（https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b）中，谷歌旗下的安全公司 Mandiant 表示，它正在跟踪利用这些漏洞的“多个活动集群”，这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。

研究人员表示，二月份，他们开始追踪一个被认为是 Volt Typhoon 的组织，该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠，目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。

“Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者，这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告（https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement）中表示：发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。

SPAWN 恶意软件家族图

该报告重点关注“五个黑客集群”，但只有一个（他们称之为 UNC5221）在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。

UNC5330攻击路径图

Mandiant 表示，尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。

“该集群的活动于 2023 年 12 月开始，重点关注 Citrix Netscaler ADC，然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查，这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。”

其他组织如果成功入侵一个组织，就会使用各种恶意软件，包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。

在事件调查过程中，Mandiant 发现了四个不同的恶意软件系列，它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门，从而实现长期访问和避免检测。

黑客利用入侵来深入受害者网络，通常会继续攻击 Microsoft 和 VMware 的工具。

目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天，Ivanti 首席执行官承诺对公司运营进行一系列变革，此前数月发生了影响世界各国政府的引人注目的事件。

参考链接：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b

https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement