Ulusal Devlet Aktörleri, Ivanti VPN Zero-Günlerini Silah Olarak Kullanıyor, 5 Zararlı Yazılım Ailesi Yayılıyor.

Şüpheli ulusal devlet aktörleri tarafından, Aralık 2023'ün başlarından bu yana Ivanti Connect Secure (ICS) VPN cihazlarındaki iki zero-day zafiyetini kullanarak gerçekleştirilen bir dizi saldırının bir parçası olarak, en az beş farklı zararlı yazılım ailesi kullanıldı.

"Bu aileler, tehdit aktörlerine kimlik doğrulamayı atlamalarına ve bu cihazlara arka kapı erişimi sağlamalarına izin veriyor," Mandiant, bu hafta yayımlanan bir analizde belirtti. Google'a ait olan tehdit istihbarat firması, tehdit aktörünü UNC5221 takma adı altında takip ediyor.

Saldırılar, etkilenen örnekleri ele geçirmek için bir kimlik doğrulama atlatma hatası (CVE-2023-46805) ve bir kod enjeksiyon zafiyeti (CVE-2024-21887) içeren bir exploit zinciri kullanıyor.

Volexity, bu faaliyeti UTA0178 adlı şüpheli bir Çin casus aktörüne atfeden, ikiz hataların başlangıç erişimi elde etmek, web kabukları dağıtmak, meşru dosyalara arka kapı oluşturmak, kimlik bilgilerini ve yapılandırma verilerini ele geçirmek ve kurban ortamına daha fazla genişlemek için kullanıldığını belirtti.

Ivanti'ye göre, bu ihlaller 10'dan az müşteriyi etkiledi ve bu durumun yüksek hedefli bir kampanya olabileceğini gösteriyor. İki zafiyet için yamaların (gayri resmi olarak ConnectAround olarak adlandırılan) 22 Ocak haftasında kullanıma sunulması bekleniyor.

Mandiant'ın saldırıların analizi, ICS içinde meşru dosyalara kötü amaçlı kod enjekte etmenin yanı sıra, BusyBox ve PySoxy gibi diğer meşru araçları kullanarak beş farklı özel zararlı yazılım ailesinin varlığını ortaya çıkardı.

"Farklı bölümlerin salt okunur olmasından dolayı, UNC5221, dosya sistemini salt okunur/okuma-yazma olarak yeniden bağlamak ve THINSPOOL adlı bir kabuk betiği dağıtmak için bir Perl betiği (sessionserver.pl) kullanmıştır. Bu, LIGHTWIRE adlı web kabuğunu meşru bir Connect Secure dosyasına yazan bir kabuk betik dağıtan THINSPOOL, ve diğer devam eden araçlar," şirket açıkladı.

LIGHTWIRE, iki web kabuğundan biridir; diğeri WIREFIRE (aka GIFTEDVISITOR). Bunlar, kompromi edilmiş cihazlara sürekli uzaktan erişimi sağlamak üzere tasarlanmış "hafif ayak basışları"dır. LIGHTWIRE, Perl CGI ile yazılmışken, WIREFIRE Python'da uygulanmıştır.

Saldırılarda ayrıca, WARPWIRE adı verilen bir JavaScript tabanlı kimlik bilgisi çalan ve dosya indirme/yükleme, ters kabuk oluşturma, bir proxy sunucusu oluşturma ve birden fazla uç nokta arasında trafik yönlendirmek için kullanılabilen bir pasif arka kapı olan ZIPLINE gibi öğeler de bulunmaktadır.

"Mandiant, bunların fırsatçı saldırılar olmadığını ve UNC5221'in yama yayımlandıktan sonra bile ele geçirdiği yüksek öncelikli hedeflerin bir alt kümesinde varlığını sürdürmeyi amaçladığını" ekledi.

UNC5221 daha önce bilinen herhangi bir grup veya belirli bir ülkeye bağlı değildir, ancak zero-day zafiyetlerini silah olarak kullanarak kenar altyapısını hedefleme ve algıyı atlamak için kompromi komuta ve kontrol (C2) altyapısını kullanma, gelişmiş kalıcı tehdidin (APT) tüm özelliklerini taşımaktadır.

"UNC5221'in etkinliği, ağların kenarını sömürmenin ve bu kenarda yaşamanın, casusluk aktörleri için hâlâ geçerli ve çekici bir hedef olduğunu göstermektedir," Mandiant dedi.

Güncelleme#
Ivanti, danışmanlığını güncelledi ve "zafiyetlerden etkilenen müşteri sayısının 20'den az olduğunu biliyoruz" ifadesine geçti, bu, 10 Ocak 2024'te yayımlandığında "10'dan az"dan bir artıştır. Bu, daha fazla şirketin cihazlarını kompromi belirtileri için tarayan bütünlük kontrol aracını çalıştırdıkça sayının muhtemelen artacağını göstermektedir.

ICS Zero-Day'lerinin Geniş Çapta Kötüye Kullanılması#
15 Ocak 2024 tarihinde Volexity, ICS VPN cihazlarındaki iki zero-day zafiyetini kötüye kullanan saldırıların küresel ölçekte yayıldığını ve dünya genelinde 1,700'den fazla cihazı enfekte ettiğini açıkladı.

Hedefler arasında hükümet ve askeri departmanlar, telekom şirketleri, savunma müteahhitleri, teknoloji firmaları, bankacılık ve finansal hizmetler, danışmanlık kuruluşları ile havacılık, havacılık ve mühendislik kuruluşları bulunmaktadır.

"UTA0178 dışında, şu anda bir dizi tehdit aktörünün bu saldırıyı gerçekleştirmek için erişimi olması muhtemeldir ve bazı yeni bulunan kompromiye uğramış cihazların WIREFIRE web kabuğunun farklı bir sürümü ile kapılı olduğu" belirtildi.

Ayrıca, UTA0188 olarak takip ettiği başka bir tehdit aktöründen şüpheli bir sömürü girişimi de bulunmaktadır.

Etiket: #Ivanti VPN Zero #zeroday #Vulnerability #Threat Intelligence

Kategori: Vulnerability

Eklenme Tarihi: 16.01.2024