Hackers de estado-nación están utilizando Zero Days de Ivanti VPN implementando 5 familias de malware

Hasta cinco familias distintas de software malicioso fueron utilizadas por presuntos actores respaldados por un estado, como parte de actividades de post-explotación que aprovecharon dos vulnerabilidades de día cero en los dispositivos de VPN Ivanti Connect Secure (ICS) desde principios de diciembre de 2023.

«Estas familias permiten a los actores de amenazas evadir la autenticación y abrir un acceso trasero a estos dispositivos», señaló Mandiant en un análisis publicado esta semana. La firma de inteligencia de amenazas propiedad de Google está monitoreando las actividades del actor bajo el alias UNC5221.

Los ataques emplean una cadena de exploits que incluye una vulnerabilidad de bypass de autenticación (CVE-2023-46805) y una vulnerabilidad de inyección de código (CVE-2024-21887) para tomar el control de las instancias susceptibles.

Volexity, que atribuyó la actividad a un presunto actor de espionaje chino llamado UTA0178, indicó que las dos fallas fueron utilizadas para obtener acceso inicial, desplegar capas de seguridad web, establecer accesos traseros en archivos legítimos, capturar credenciales y datos de configuración, y avanzar más en el entorno de la víctima.

De acuerdo con Ivanti, las intrusiones afectaron a menos de 10 clientes, sugiriendo que podría tratarse de una campaña altamente dirigida. Se espera que los parches para las dos vulnerabilidades (colloquialmente denominadas ConnectAround) estén disponibles en la semana del 22 de enero.

El análisis de Mandiant de los ataques ha revelado la existencia de cinco familias diferentes de software malicioso personalizado, además de la inserción de código malicioso en archivos legítimos dentro de ICS y la utilización de otras herramientas legítimas como BusyBox y PySoxy para facilitar la actividad posterior.

«Dado que ciertas secciones del dispositivo son de solo lectura, UNC5221 utilizó un script en Perl (sessionserver.pl) para remontar el sistema de archivos como de lectura/escritura y permitir la implementación de THINSPOOL, un script de instalación que escribe el web shell LIGHTWIRE en un archivo legítimo de Connect Secure, junto con otras herramientas adicionales», detalló la empresa.

LIGHTWIRE es uno de los dos web shells, siendo el otro WIREFIRE; ambos son «puntos de apoyo ligeros» diseñados para asegurar un acceso remoto persistente a dispositivos comprometidos. Mientras que LIGHTWIRE está desarrollado en Perl CGI, WIREFIRE se implementa en Python.

En estos ataques también se emplea un ladrón de credenciales basado en JavaScript denominado WARPWIRE, y una puerta trasera pasiva llamada ZIPLINE, capaz de descargar/subir archivos, establecer un shell inverso, crear un servidor proxy y configurar un servidor de túneles para dirigir el tráfico entre múltiples puntos finales.

«Esto indica que no se trata de ataques oportunísticos, y UNC5221 tenía la intención de mantener su presencia en un conjunto específico de objetivos de alta prioridad que comprometió después de que se lanzara inevitablemente un parche», agregó Mandiant.

Aunque UNC5221 no ha sido vinculado anteriormente a ningún grupo conocido o país en particular, el hecho de atacar la infraestructura perimetral mediante la explotación de vulnerabilidades de día cero y el uso de infraestructura comprometida de comando y control (C2) para eludir la detección presenta todas las características de una amenaza persistente avanzada (APT).

«La actividad de UNC5221 demuestra que explotar y mantenerse en el borde de las redes sigue siendo un objetivo viable y atractivo para actores de espionaje», concluyó Mandiant.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *