Los actores de amenazas chinos han desarrollado nuevas técnicas para moverse lateralmente después de la explotación de las vulnerabilidades de Ivanti, según reveló una nueva investigación de Mandiant.
Mandiant detalló la actividad de cinco presuntos grupos de espionaje del nexo con China en una publicación de blog fechada el 4 de abril.
La actividad sigue la explotación de las vulnerabilidades CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893, que fueron identificadas previamente en las puertas de enlace Ivanti Connect Secure e Ivanti Policy Secure.
Mandiant ha evaluado con confianza media que uno de estos grupos, identificado como UNC5291, es Volt Typhoon, que tiene como objetivo los sectores de energía y defensa de Estados Unidos.
Además, Mandiant dijo que ha identificado actores con motivación financiera que explotan CVE-2023-46805 y CVE-2024-21887, que probablemente permitan operaciones como la criptominería.
En total, el análisis ha observado ocho grupos distintos involucrados en la explotación de uno o más de estos CVE de Ivanti.
El informe surge tras una advertencia urgente de los países de Five Eyes el 29 de febrero de que los actores de amenazas cibernéticas están explotando estas vulnerabilidades, que se hicieron públicas a principios de 2024.
A partir del 3 de abril, hay un parche disponible para cada versión compatible de Ivanti Connect Secure afectada por las vulnerabilidades.
También se recomienda a las organizaciones que utilicen la nueva herramienta de verificación de integridad externa (TIC) mejorada de Ivanti, también lanzada el 3 de abril, para detectar posibles intentos de persistencia de malware en restablecimientos de fábrica y actualizaciones del sistema y otras tácticas, técnicas y procedimientos (TTP) observados en la naturaleza. .
Nuevos TTP para el movimiento lateral posterior a la explotación
Mandiant ha observado que los grupos chinos-nexus aprovechan el nuevo malware tras la explotación de los dispositivos Ivanti Connect Secure. Estas herramientas están diseñadas para permitir el movimiento lateral evitando la detección.
Familia de malware SPAWN
Durante un análisis de Mandiant de un compromiso por parte del actor de amenazas UNC5221, se emplearon cuatro componentes distintos del conjunto de herramientas de malware personalizado SPAWN para crear una puerta trasera sigilosa y persistente en un dispositivo infectado.
Esta familia de malware también está diseñada para permitir el acceso a largo plazo y evitar la detección. Está hecho de:
- Ellos engendran. Un instalador que aprovecha una función de instalación de coreboot para establecer la persistencia del tunelizador SPAWNMOLE y la puerta trasera SPAWNSNAIL.
- Engendrar topo. Un tunelizador que se inyecta en el proceso web. Secuestra la función de aceptación en el proceso web para monitorear el tráfico y filtrar el tráfico malicioso proveniente del atacante.
- Caracol de aparición. Una puerta trasera que escucha en localhost
- ENgendra perezoso. Una utilidad de manipulación de registros inyectada en el proceso dslogserver. Puede deshabilitar el registro y deshabilitar el reenvío de registros a un servidor syslog externo cuando la puerta trasera SPAWNSNAIL está operativa.
Cáscara web ROOTROT
En la misma investigación de un dispositivo Ivanti Connect Secure comprometido por UNC5221, Mandiant también identificó el uso de un nuevo shell web rastreado como ROOTROT.
Este shell web está escrito en Perl y está integrado en un archivo .ttc legítimo de Connect Secure. Permite a los atacantes analizar el comando codificado en Base64 decodificado emitido y ejecutarlo con eval.
Se creía que ROOTROT se creó en el sistema antes de la divulgación pública de los CVE asociados el 10 de enero de 2024, lo que sugiere un ataque dirigido.
La implementación de ROOTROT en un dispositivo Connect Secure llevó a UNC5221 a iniciar el reconocimiento de red y el movimiento lateral a un servidor VMware vCenter.
Puerta trasera de la tormenta de ladrillos
UNC5221 accedió al dispositivo vCenter mediante SSH y descargó la puerta trasera BRICKSTORM en el dispositivo.
BRICKSTORM es una puerta trasera Go dirigida a servidores VMware vCenter, que tiene la capacidad de configurarse como un servidor web, realizar manipulación de directorios y sistemas de archivos, realizar operaciones de archivos como carga/descarga, ejecutar comandos de shell y realizar SOCKS que transmiten comunicaciones BRICKSTORM a través de WebSockets. a un C2 codificado.
PLATA C2
En una intrusión separada, el actor de amenazas UNC5266 implementó copias del marco de comando y control (C2) de SLIVER. Las copias de SLIVER se colocaron en tres ubicaciones separadas en el dispositivo comprometido, intentando hacerse pasar por archivos legítimos del sistema.
UNC5266 modificó un archivo de servicio systemd para registrar una de las copias de SLIVER como demonio persistente.
TÉ TERRIBLE
En otra explotación, UNC5266 implementó una puerta trasera Go llamada TERRIBLETEA. Esta puerta trasera Go se comunica a través de HTTP utilizando XXTEA para comunicaciones cifradas y tiene múltiples capacidades que incluyen ejecución de comandos, registro de pulsaciones de teclas e interacción con el sistema de archivos.
TERRIBLETEA también puede tomar diferentes rutas de ejecución según el entorno para el que esté configurado.
Compromiso de Active Directory tras un movimiento lateral
Otra técnica observada por los investigadores fue la del grupo UNC5330, que encadenó CVE-2024-21893 y CVE-2024-21887 para el acceso inicial.
UNC5330 aprovechó una cuenta de enlace LDAP configurada en el dispositivo Ivanti Connect Secure comprometido para abusar de una plantilla de certificado de Windows vulnerable, creó un objeto de computadora y solicitó un certificado para un administrador de dominio.
Luego, el actor de amenazas se hizo pasar por el administrador del dominio para realizar DCSync posteriores para extraer material de credenciales adicional y moverlo lateralmente.
Mandiant dijo que sus hallazgos subrayan la amenaza constante que enfrentan los dispositivos de borde, con una amplia gama de TTP que se emplean después de una explotación exitosa.
“Si bien el uso de herramientas de código abierto es algo común, Mandiant continúa observando que los actores aprovechan el malware personalizado que se adapta al dispositivo o entorno al que se dirige el actor”, escribieron los investigadores.
