La firma Mandiant, adquirida por Google, ha revelado la detección de nuevo malware en ataques posteriores a la explotación de dispositivos Ivanti Connect Secure VPN y Policy Secure. Los actores de amenazas de espionaje chinos UNC5221 y otros grupos han utilizado shells web personalizadas como BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.
En particular, Mandiant ha destacado que UNC5221 ha utilizado CHAINLINE, una puerta trasera de shell web en Python que permite la ejecución arbitraria de comandos, mientras que también ha descubierto varias versiones de WARPWIRE, que roba credenciales basado en JavaScript.
Las brechas de seguridad CVE-2023-46805 y CVE-2024-21887 han sido explotadas con éxito como día cero desde principios de diciembre de 2023, lo que permite a un actor de amenazas no autenticado ejecutar comandos arbitrarios en el dispositivo Ivanti.
También se ha descubierto que BUSHWALK utiliza ataques altamente específicos y se ha incrustado en un archivo legítimo de Connect Secure. FRAMESTING, por otro lado, es una shell web de Python que se encuentra en una ruta específica del paquete de Python de Ivanti.
La empresa Mandiant también ha encontrado herramientas de código abierto como Impacket, CrackMapExec, iodine y Enum4linux utilizados en los ataques en dispositivos Ivanti CS, así como las similitudes entre la infraestructura y herramientas utilizadas por UNC5221 y intrusiones chinas pasadas. Se sabe que UNC5221 ataca una amplia gama de industrias en interés estratégico para China. Además, Ivanti ha publicado parches para abordar las cuatro vulnerabilidades descubiertas, incluida la CVE-2024-21893, que está siendo activamente explotada por un número limitado de sus clientes.
Mandiant ha declarado que UNC5221 ha utilizado tácticas, técnicas y procedimientos asociados con la explotación de día cero de la infraestructura de borde por parte de actores sospechosos de estar vinculados al gobierno chino.
Vía: The Hacker News
