Les pirates exploitent les deux vulnérabilités zero-day d’Ivanti Connect Secure divulguées cette semaine depuis début décembre pour déployer plusieurs familles de logiciels malveillants personnalisés à des fins d’espionnage.

Identifiés comme CVE-2023-46805 et CVE-2024-21887, les problèmes de sécurité permettent de contourner l’authentification et d’injecter des commandes arbitraires sur des systèmes vulnérables. Iv anti a déclaré que les attaquants ciblaient un petit nombre de ses clients.

Un rapport de Mandiant, qui travaille avec Avanti pour enquêter sur l’incident, note que l’acteur menaçant derrière les attaques est engagé dans l’espionnage et est actuellement suivi en interne sous le nom de UNC5221.

Aujourd’hui, le service de surveillance des menaces Shadowserver a publié sur X que ses scanners détectent 17 100 appliances Inv antiCS sur le Web public, la plupart aux États-Unis.

Cependant, rien n’indique combien d’entre eux sont vulnérables.

Propagation de la surface d’attaque

Malware déployé
Mandiant a découvert que l’UNC5221 utilise un ensemble d’outils au cours de la phase post-compromission qui comprend cinq logiciels malveillants personnalisés pour planter des webshells, exécuter des commandes, supprimer des charges utiles et voler des informations d’identification.

Voici un résumé des outils utilisés dans les attaques:

  • Porte dérobée passive Zipline: malware personnalisé capable d’intercepter le trafic réseau, prend en charge les opérations de téléchargement/téléchargement, la création de shells inversés, les serveurs proxy, le tunneling de serveur
  • Compte-gouttes à double bobine: compte-gouttes de script shell personnalisé qui écrit le shell Web Lightwire sur Iv antiCS, sécurisant la persistance
  • Webshell Wire fire: shell Web personnalisé basé sur Python prenant en charge l’exécution de commandes arbitraires non authentifiées et la suppression de la charge utile
  • Webshell Light wire: shell Web Perl personnalisé intégré dans un fichier légitime, permettant l’exécution de commandes arbitraires
  • Récolteuse de fils de chaîne: outil personnalisé basé sur JavaScript pour récolter les informations d’identification lors de la connexion, en les envoyant à un serveur de commande et de contrôle (C2)
  • Tunnelier PySoxy: facilite le tunneling du trafic réseau pour la furtivité
  • BusyBox: binaire multi-appels combinant de nombreux utilitaires Unix utilisés dans diverses tâches système
  • Utilitaire Thinspool (sessionserver.pl): utilisé pour remonter le système de fichiers en lecture / écriture pour permettre le déploiement de logiciels malveillants

« ZIPLINE est la plus notable de ces familles, c’est une porte dérobée passive qui détourne une fonction exportée accept () de libsecure.so. ZIP LINE intercepte le trafic réseau entrant et prend en charge le transfert de fichiers, le shell inversé, le tunneling et le proxy », a déclaré un chercheur en sécurité de Mandiant sur X (anciennement Twitter).

Commandes prises en charge par Zipline

Mandiant a également découvert que les attaquants utilisaient des appliances VPN Cyberoam compromises en fin de vie en tant que serveurs C2, avec leur emplacement défini dans la même région que la cible, pour échapper à la détection.

Volexity avait précédemment signalé avoir vu des signes d’attaques menées par des acteurs de la menace parrainés par l’État chinois. Cependant, le rapport de Mandiant ne fait aucune attribution ni ne fournit d’informations sur l’origine potentielle ou l’affiliation de l’auteur de la menace.

La société Google affirme qu’il n’y a pas suffisamment de données pour évaluer l’origine de UNC5221 avec confiance et a noté que son activité n’est liée à aucun groupe de menaces précédemment connu.

Même sans attribution, l’utilisation de logiciels malveillants personnalisés offrant un accès continu indique que « l’UNC5221 avait l’intention de maintenir sa présence sur un sous-ensemble de cibles hautement prioritaires » même après la disponibilité d’un correctif.

Mandiant soupçonne que UNC5221 est une menace persistante avancée (APT) qui cible des cibles hautement prioritaires.

Il est rappelé aux administrateurs système qu’il n’existe actuellement aucune mise à jour de sécurité qui corrige les deux jours zéro, mais Ivanti fournit des mesures d’atténuation qui doivent être mises en œuvre immédiatement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *