Sicurezza Informatica

APT sfruttano vulnerabilità Zero-Day di Ivanti VPN, attivano 5 malware

da Redazione
scritto da Redazione 0 commenti 2 minuti leggi
APT Ivanti

APT hanno sfruttato due vulnerabilità zero-day negli apparecchi VPN Ivanti Connect Secure (ICS) fin dall’inizio di dicembre 2023. Questi attacchi hanno portato al dispiegamento di ben cinque diverse famiglie di malware come parte delle attività post-sfruttamento.

Dettagli degli Attacchi e delle Vulnerabilità

Sfruttamento delle Vulnerabilità

Gli attacchi hanno utilizzato una catena di exploit comprendente una falla di bypass dell’autenticazione (CVE-2023-46805) e una vulnerabilità di iniezione di codice (CVE-2024-21887) per prendere il controllo delle istanze suscettibili.

Analisi di Mandiant

Mandiant, una società di intelligence sulle minacce di proprietà di Google, sta monitorando l’attore della minaccia sotto il nome di UNC5221. Questo gruppo ha sfruttato le vulnerabilità per aggirare l’autenticazione e fornire accesso backdoor a questi dispositivi.

Attribuzione di Volexity

Volexity, che ha attribuito l’attività a un sospetto attore di spionaggio cinese chiamato UTA0178, ha affermato che le due falle sono state utilizzate per ottenere l’accesso iniziale, distribuire webshells, inserire backdoor in file legittimi, catturare credenziali e dati di configurazione e penetrare ulteriormente nell’ambiente della vittima.

Impatto e Risposta

Impatto sui Clienti

Secondo Ivanti, le intrusioni hanno impattato meno di 10 clienti, indicando che potrebbe trattarsi di una campagna altamente mirata.

Pubblicazione delle Patch

Le patch per le due vulnerabilità, informalmente chiamate ConnectAround, dovrebbero essere disponibili nella settimana del 22 gennaio.

Analisi delle Famiglie di Malware

Diverse Famiglie di Malware

L’analisi di Mandiant ha rivelato la presenza di cinque diverse famiglie di malware personalizzate, oltre all’iniezione di codice malevolo in file legittimi all’interno di ICS.

Strumenti Legittimi Utilizzati

Gli attacchi hanno anche utilizzato altri strumenti legittimi come BusyBox e PySoxy per facilitare le attività successive.

Annunci

Malware LIGHTWIRE e WIREFIRE

LIGHTWIRE e WIREFIRE sono due delle web shells utilizzate, progettate per garantire un accesso remoto persistente ai dispositivi compromessi.

Considerazioni sulla Sicurezza

L’attività di UNC5221 dimostra che sfruttare e vivere ai margini delle reti rimane un obiettivo valido e attraente per gli attori dello spionaggio. Questa serie di attacchi evidenzia l’importanza di una robusta sicurezza informatica e della rapida risposta alle vulnerabilità note per proteggere le infrastrutture critiche.

Potreste Essere Interessati

Si può anche come

StealC evolve con la versione 2

FBI chiede informazioni su Salt Typhoon e aiuto

Russia, Corea del Sud, Francia e Olanda sotto...

Ondata di exploit attivi colpisce infrastrutture, CMS, VPN...

Microsoft aggiorna la propria infrastruttura cloud, AI e...

DragonForce e Co-op: offensive ransomware e arresti eccellenti

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara