Pelo menos dois diferentes clusters suspeitos de ciberespionagem vinculados à China, rastreados como UNC5325 e UNC3886, foram atribuídos à exploração de falhas de segurança em aparelhos VPN Ivanti Connect Secure.
O UNC5325 abusou do
CVE-2024-21893
para entregar uma ampla gama de novos malwares chamados LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET e PITHOOK, bem como tentou manter acesso persistente aos aparelhos comprometidos, disse a Mandiant.
A empresa de inteligência de ameaças, de propriedade da Google, avaliou com confiança moderada que o UNC5325 está associado ao UNC3886 devido a sobreposições de código-fonte no LITTLELAMB.WOOLTEA e PITHOOK com o malware usado por este último.
Vale a pena ressaltar que o UNC3886 possui um histórico de aproveitamento de falhas zero-day em soluções Fortinet e VMware para implantar uma variedade de implantes como VIRTUALPITA, VIRTUALPIE, THINCRUST e CASTLETAP.
"O UNC3886 tem como alvo principal a base industrial de defesa, tecnologia e organizações de telecomunicações localizadas nos EUA e regiões [Ásia-Pacífico]", disseram os pesquisadores da Mandiant.
A exploração ativa de
CVE-2024-21893
- uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no componente SAML de Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons para ZTA - pelo UNC5325 teria ocorrido a partir de 19 de janeiro de 2024, visando um número limitado de dispositivos.
A cadeia de ataque implica a combinação de
CVE-2024-21893
com uma vulnerabilidade de injeção de comando divulgada anteriormente rastreada como CVE-2024-21887 para obter acesso não autorizado a aparelhos suscetíveis, levando finalmente ao lançamento de uma nova versão de BUSHWALK.
Algumas instâncias também envolveram o abuso de componentes Ivanti legítimos, como os plugins SparkGateway, para soltar payloads.
Isso inclui o plugin PITFUEL para carregar um objeto compartilhado malicioso codinome LITTLELAMB.WOOLTEA, que vem com capacidades para persistir em eventos de upgrade de sistema, patches e resets de fábrica.
“Embora as tentativas limitadas observadas para manter a persistência não tenham sido bem-sucedidas até a data devido à falta de lógica no código do malware para considerar uma discrepância na chave de criptografia, isso demonstra até que ponto o UNC5325 irá para manter o acesso a alvos de prioridade e destaca a importância de garantir que os aparelhos de rede tenham as últimas atualizações e patches ”, ressaltou a empresa.
Ele atua ainda como um backdoor que suporta execução de comandos, gerenciamento de arquivos, criação de shell, proxy SOCKS e túnel de tráfego de rede.
Também foi observado outro plugin SparkGateway malicioso apelidado de PITDOG que injeta um objeto compartilhado conhecido como PITHOOK para executar persistentemente um implante chamado PITSTOP projetado para execução de comando shell, gravação de arquivo e leitura de arquivo no aparelho comprometido.
A Mandiant descreveu o ator da ameaça como tendo demonstrado um "entendimento nuanceado do aparelho e sua habilidade para subverter a detecção durante esta campanha" e usar técnicas de living-off-the-land (LotL) para passar despercebido.
A empresa de cibersegurança disse que espera que "UNC5325, bem como outros atores de espionagem com conexão chinesa, continuem a aproveitar as vulnerabilidades zero-day em dispositivos de borda de rede, bem como malware específico para aparelhos para obter e manter o acesso a ambientes alvo".
A revelação surge quando a empresa de cibersegurança industrial Dragos atribuiu o Volt Typhoon patrocinado pela China (também conhecido como Voltzite) a atividades de reconhecimento e enumeração visando várias empresas elétricas dos EUA, serviços de emergência, provedores de telecomunicações, bases industriais de defesa e serviços de satélite.
"As ações de Voltzite para entidades elétricas dos EUA, telecomunicações e sistemas GIS significam objetivos claros de identificar vulnerabilidades na infraestrutura crítica do país que possam ser exploradas no futuro com ataques cibernéticos destrutivos ou disruptivos", disse a empresa.
A pegada de vítimas da Volt Typhoon desde então se expandiu para incluir provedores de transmissão e distribuição de eletricidade africana, com evidências ligando o adversário ao UTA0178, um grupo de atividades de ameaças ligado à exploração da falha de Ivanti Connect Secure no início de dezembro de 2023.
O ator de ciberespionagem, que depende fortemente dos métodos LotL para evitar detecção, se junta a outros dois novos grupos, Gananite e Laurionite, que surgiram em 2023, conduzindo operações de reconhecimento de longo prazo e operações de roubo de propriedade intelectual voltadas para infraestrutura crítica e entidades governamentais.
"Voltzite usa ferramentas muito mínimas e prefere conduzir suas operações com a menor pegada possível", explicou Dragos.
"Voltzite se concentra fortemente na evasão de detecção e acesso persistente de longo prazo com a intenção avaliada de espionagem e exfiltração de dados de longo prazo."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...