Publica Mandiant una investigación sobre la actividad observada alrededor de las amenazas dirigidas a dispositivos Ivanti Connect Secure vulnerables que no tenían parches o no tenían aplicada la mitigación adecuada.
Concretamente, Mandiant está rastreando múltiples grupos de actividad que explotan CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893 en sus investigaciones de respuesta a incidentes, algunos de los cuales probablemente permitan operaciones como la criptominería.
Entre las principales conclusiones de la investigación realizada por la compañía destaca:
- Se ha descubierto que los actores de amenazas utilizan Windows Management Instrumentation (WMI) para reconocimiento, movimiento lateral, manipulación de entradas de registro y establecimiento de persistencia.
- Después de explotar con éxito un dispositivo Ivanti Connect Secure vulnerable, actores de amenazas utilizan herramientas de código abierto, como SLIVER y CrackMapExec, para mantener la persistencia en la red de la víctima.
- Se han descubierto cuatro familias de malware distintas que «trabajan en estrecha colaboración para crear una puerta trasera sigilosa y persistente en un dispositivo infectado».
Desde la divulgación pública del 10 de enero de 2024, Mandiant ha observado distintos grupos involucrados en la explotación de uno o más de estos CVE de Ivanti. En su última investigación, la compañía esboza cinco nuevos grupos de amenazas distintos (denominados «UNC»)
UNC5221. Es un actor sospechoso del nexo con China que Mandiant está rastreando como el único grupo que explota CVE-2023-46805 y CVE-2024-21887 durante el período previo a la divulgación desde principios de diciembre de 2023.
UNC5266. Mandiant creó UNC5266 para rastrear la explotación posterior a la divulgación que condujo a la implementación del marco de implante SLIVER de Bishop Fox, una variante WARPWIRE y una nueva familia de malware que Mandiant llamó TERRIBLETEA. En este momento, basándose en las similitudes observadas en el uso de la infraestructura, Mandiant sospecha con moderada confianza que UNC5266 se superpone en parte con UNC3569, un actor de espionaje del nexo con China que se ha observado explotando vulnerabilidades en Aspera Faspex, Microsoft Exchange y Oracle Web Applications Desktop Integrator, entre otras cosas, para obtener acceso inicial a los entornos de destino.
UNC5330. Es un presunto actor de espionaje del nexo con China. Se ha observado que UNC5330 encadena CVE-2024-21893 y CVE-2024-21887 para comprometer los dispositivos Ivanti Connect Secure VPN ya en febrero de 2024. La actividad posterior al compromiso de UNC5330 incluye la implementación de PHANTOMNET y TONERJAM.
UNC5337. Es un actor sospechoso de espionaje del nexo con China que comprometió los dispositivos VPN seguros de Ivanti Connect ya en enero de 2024. Se sospecha que UNC5337 explota CVE-2023-46805 (omisión de autenticación) y CVE-2024-21887 (inyección de comandos) para infectar dispositivos Ivanti Connect Secure. UNC5337 aprovechó varias familias de malware personalizadas, incluida la puerta trasera pasiva SPAWNSNAIL, el tunelizador SPAWNMOLE, el instalador SPAWNANT y la utilidad de manipulación de registros SPAWNSLOTH. Mandiant sospecha con confianza media que UNC5337 es UNC5221.
UNC5291. Es un grupo de actividad de sondeo dirigida que parece asociada con UNC3236, también conocido públicamente como Volt Typhoon. La actividad de este clúster comenzó en diciembre de 2023 centrándose en Citrix Netscaler ADC y luego pasó a centrarse en los dispositivos Ivanti Connect Secure después de que los detalles se hicieran públicos a mediados de enero. 2024.
Además, Mandiant continúa observando una amplia gama de TTP después de la explotación exitosa de vulnerabilidades contra dispositivos edge. Como informó anteriormente Mandiant, los actores del nexo con China continúan evolucionando para evitar ser detectados. Si bien el uso de herramientas de código abierto es algo común, Mandiant continúa observando que los actores aprovechan el malware personalizado que se adapta al dispositivo o entorno al que se dirige el actor.
