APT hanno sfruttato due vulnerabilità zero-day negli apparecchi VPN Ivanti Connect Secure (ICS) fin dall’inizio di dicembre 2023. Questi attacchi hanno portato al dispiegamento di ben cinque diverse famiglie di malware come parte delle attività post-sfruttamento.
Dettagli degli Attacchi e delle Vulnerabilità
Sfruttamento delle Vulnerabilità
Gli attacchi hanno utilizzato una catena di exploit comprendente una falla di bypass dell’autenticazione (CVE-2023-46805) e una vulnerabilità di iniezione di codice (CVE-2024-21887) per prendere il controllo delle istanze suscettibili.
Analisi di Mandiant
Mandiant, una società di intelligence sulle minacce di proprietà di Google, sta monitorando l’attore della minaccia sotto il nome di UNC5221. Questo gruppo ha sfruttato le vulnerabilità per aggirare l’autenticazione e fornire accesso backdoor a questi dispositivi.
Attribuzione di Volexity
Volexity, che ha attribuito l’attività a un sospetto attore di spionaggio cinese chiamato UTA0178, ha affermato che le due falle sono state utilizzate per ottenere l’accesso iniziale, distribuire webshells, inserire backdoor in file legittimi, catturare credenziali e dati di configurazione e penetrare ulteriormente nell’ambiente della vittima.
Impatto e Risposta
Impatto sui Clienti
Secondo Ivanti, le intrusioni hanno impattato meno di 10 clienti, indicando che potrebbe trattarsi di una campagna altamente mirata.
Pubblicazione delle Patch
Le patch per le due vulnerabilità, informalmente chiamate ConnectAround, dovrebbero essere disponibili nella settimana del 22 gennaio.
Analisi delle Famiglie di Malware
Diverse Famiglie di Malware
L’analisi di Mandiant ha rivelato la presenza di cinque diverse famiglie di malware personalizzate, oltre all’iniezione di codice malevolo in file legittimi all’interno di ICS.
Strumenti Legittimi Utilizzati
Gli attacchi hanno anche utilizzato altri strumenti legittimi come BusyBox e PySoxy per facilitare le attività successive.
Malware LIGHTWIRE e WIREFIRE
LIGHTWIRE e WIREFIRE sono due delle web shells utilizzate, progettate per garantire un accesso remoto persistente ai dispositivi compromessi.
Considerazioni sulla Sicurezza
L’attività di UNC5221 dimostra che sfruttare e vivere ai margini delle reti rimane un obiettivo valido e attraente per gli attori dello spionaggio. Questa serie di attacchi evidenzia l’importanza di una robusta sicurezza informatica e della rapida risposta alle vulnerabilità note per proteggere le infrastrutture critiche.