Ivanti Connect Secure 零日漏洞被用来部署自定义恶意软件

2024年1月16日08:57:29评论70 views字数 1571阅读5分14秒阅读模式

更多全球网络安全资讯尽在邑安全

自 12 月初以来，黑客一直在利用披露的 Ivanti Connect Secure 中的两个零日漏洞来部署多个定制恶意软件系列以用于间谍目的。

这些安全问题被标识为 CVE-2023-46805 和 CVE-2024-21887，允许绕过身份验证并向易受攻击的系统注入任意命令。Ivanti 表示，攻击者针对的是少数客户。

与 Ivanti 合作调查该事件的Mandiant的一份报告指出，攻击背后的威胁行为者从事间谍活动，目前在内部追踪为 UNC5221。

今天，威胁监控服务 Shadowserver在 X 上发布消息称，其扫描仪在公共网络上检测到 17,100 台 Invanti CS 设备，其中大部分位于美国。

然而，没有迹象表明其中有多少人容易受到攻击。

部署的恶意软件

Mandiant 发现 UNC5221 在攻击后阶段使用了一组工具，其中包括五种自定义恶意软件，用于植入 Webshell、执行命令、删除有效负载和窃取凭据。

以下是攻击中使用的工具的摘要：

X的Mandiant 安全研究员表示：“ZIPLINE 是这些家族中最著名的一个，它是一个被动后门，可以劫持 libsecure.so 中的导出函数accept()。ZIPLINE 拦截传入的网络流量并支持文件传输、反向 shell、隧道和代理”。

Mandiant 还发现，攻击者使用受损的报废 Cyberoam VPN 设备作为 C2 服务器，并将其位置设置在与目标相同的区域，以逃避检测。

Volexity 此前曾报道称，有迹象表明这些攻击是由中国国家支持的威胁行为者发起的。然而，Mandiant 的报告没有做出任何归属，也没有提供有关威胁行为者的潜在来源或从属关系的信息。

谷歌公司表示，没有足够的数据来自信地评估 UNC5221 的来源，并指出其活动与任何先前已知的威胁组织无关。

即使没有归属，使用提供持续访问的自定义恶意软件表明，即使在补丁可用之后，“UNC5221 仍打算在高优先级目标的子集上保持存在”。

Mandiant 怀疑 UNC5221 是一种针对高优先级目标的高级持续威胁 (APT)。

提醒系统管理员，目前没有解决这两个零日漏洞的安全更新，但 Ivanti 提供了应立即实施的缓解措施。

原文来自:thehackernews.com

原文链接:https://www.bleepingcomputer.com/news/security/ivanti-connect-secure-zero-days-exploited-to-deploy-custom-malware/

原文始发于微信公众号（邑安全）：Ivanti Connect Secure 零日漏洞被用来部署自定义恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。