🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị trấn Quốc Oai, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Sài Sơn, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phượng Cách, Hà Nội đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Tin tặc khai thác các zero-day của Ivanti VPN để triển khai phần mềm độc hại

15/01/2024

Có tới 5 dòng mã độc khác nhau đã được các tác nhân đe dọa triển khai như một phần của các hoạt động sau khai thác, lợi dụng hai lỗ hổng zero-day trong các thiết bị VPN Ivanti Connect Secure (ICS) kể từ đầu tháng 12 năm 2023.

Trong một báo cáo gần đây, Mandiant cho biết: “Những dòng này cho phép các tác nhân đe dọa phá vỡ cơ chế xác thực và cung cấp quyền truy cập backdoor vào các thiết bị bị lây nhiễm”. Công ty tình báo mối đe dọa thuộc sở hữu của Google đang theo dõi tác nhân đe dọa với biệt danh UNC5221.

Các cuộc tấn công lạm dụng chuỗi khai thác bao gồm lỗ hổng cho phép bỏ qua xác thực (CVE-2023-46805) và lỗ hổng code injection (CVE-2024-21887) để giành quyền kiểm soát các thiết bị dễ bị tấn công.

Volexity cho biết hai lỗ hổng này được sử dụng để giành quyền truy cập ban đầu, triển khai webshell, backdoor, thu thập thông tin xác thực và dữ liệu cấu hình, đồng thời thăm dò sâu hơn vào môi trường nạn nhân.

Theo Ivanti, tính đến thời điểm hiện tại, các cuộc xâm nhập chỉ ảnh hưởng đến dưới 20 khách hàng, cho thấy đây có thể là một chiến dịch nhắm mục tiêu cao. Các bản vá cho hai lỗ hổng dự kiến ​​sẽ có sẵn vào ngày 22 tháng 1.

Phân tích của Mandiant về các cuộc tấn công cho thấy sự hiện diện của 5 họ phần mềm độc hại khác nhau, bên cạnh việc chèn mã độc vào các tệp hợp pháp trong ICS và sử dụng các công cụ hợp pháp khác như BusyBox và PySoxy để hỗ trợ hoạt động tiếp theo.

"Do một số tệp của thiết bị ở chế độ chỉ đọc, UNC5221 đã lạm dụng tập lệnh Perl (sessionserver.pl) để kết nối lại hệ thống tệp dưới dạng đọc/ghi và cho phép triển khai THINSPOOL, một công cụ dropper có khả năng chèn web shell LIGHTWIRE vào một tập tin Connect Secure hợp pháp và triển khai các công cụ độc hại khác", công ty cho biết.

LIGHTWIRE là một trong hai web shell được phát hiện, web shell còn lại là WIREFIRE, được thiết kế để duy trì khả năng truy cập từ xa liên tục vào các thiết bị bị xâm nhập. Trong khi LIGHTWIRE được viết bằng Perl CGI thì WIREFIRE được triển khai bằng Python.

Cũng được sử dụng trong các cuộc tấn công là một công cụ đánh cắp thông tin xác thực dựa trên JavaScript có tên là WARPWIRE và một backdoor có tên ZIPLINE có khả năng tải xuống/tải lên tệp, thiết lập reverse shell, tạo máy chủ proxy và thiết lập kênh bí mật để gửi lưu lượng truy cập giữa các thiết bị.

Mandiant cho biết thêm: “Điều này cho thấy đây không phải là các cuộc tấn công cơ hội và UNC5221 có ý định duy trì sự tồn tại của mình trên một nhóm các mục tiêu nhất định mà nó đã xâm phạm sau khi bản vá được phát hành”.

UNC5221 chưa được liên kết với bất kỳ nhóm đe dọa nào đã được biết trước đây hoặc một quốc gia cụ thể, mặc dù việc nhắm mục tiêu bằng cách khai thác các lỗ hổng zero-day và sử dụng cơ sở hạ tầng điều khiển tấn công (C2) để vượt qua khả năng phát hiện là các đặc điểm nổi bật của một mối đe dọa nâng cao (APT).

Nguồn: thehackernews.com.

scrolltop