แฮกเกอร์ชาวจีนใช้ประโยชน์จากข้อบกพร่องของ Ivanti VPN เพื่อติดตั้งมัลแวร์ใหม่

กลุ่มจารกรรมทางไซเบอร์ที่ต้องสงสัยอย่างน้อยสองกลุ่มที่เชื่อมโยงกับจีน ซึ่งติดตามในชื่อ UNC5325และ UNC3886 มีสาเหตุมาจากการใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในอุปกรณ์ Ivanti Connect Secure VPN

UNC5325 ใช้ CVE-2024-21893 ในทางที่ผิด เพื่อส่งมัลแวร์ใหม่หลายประเภทที่เรียกว่า LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET และ PITHOOK รวมถึงพยายามรักษาการเข้าถึงอุปกรณ์ที่ถูกบุกรุกอย่างต่อเนื่อง Mandiant กล่าว

บริษัทข่าวกรองภัยคุกคามที่ Google เป็นเจ้าของได้ประเมินด้วยความมั่นใจปานกลางว่า UNC5325 มีความเกี่ยวข้องกับ UNC3886 เนื่องจากซอร์สโค้ดซ้อนทับกันใน LITTLELAMB.WOOLTEA และ PITHOOK ด้วยมัลแวร์ที่ใช้โดยรุ่นหลัง

เป็นที่น่าสังเกตว่า UNC3886 มีประวัติในการใช้ประโยชน์จากข้อบกพร่องแบบ Zero-day ในโซลูชันของ Fortinet และ VMware เพื่อปรับใช้อุปกรณ์ปลูกถ่ายที่หลากหลาย เช่น VIRTUALPITA, VIRTUALPIE, THINCRUST และ CASTLETAP

UNC3886 มีเป้าหมายหลักไปที่ฐานอุตสาหกรรมด้านกลาโหม เทคโนโลยี และองค์กรโทรคมนาคมที่ตั้งอยู่ในสหรัฐอเมริกาและภูมิภาค [เอเชียแปซิฟิก]” นักวิจัยของ Mandiant กล่าว

การใช้ประโยชน์อย่างแข็งขันของ CVE-2024-21893 ซึ่งเป็นช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF) ในองค์ประกอบ SAML ของ Ivanti Connect Secure, Ivanti Policy Secure และ Ivanti Neurons สำหรับ ZTA โดย UNC5325 กล่าวกันว่าเกิดขึ้นในช่วงต้นเดือนมกราคม 19 ต.ค. 2024 โดยกำหนดเป้าหมายอุปกรณ์จำนวนจำกัด

ห่วงโซ่การโจมตีเกี่ยวข้องกับการรวม CVE-2024-21893 เข้ากับช่องโหว่ Command Injection ที่เปิดเผยก่อนหน้านี้ ซึ่งติดตามในชื่อCVE -2024-21887 เพื่อเข้าถึงอุปกรณ์ที่มีความเสี่ยงโดยไม่ได้รับอนุญาต ซึ่งท้ายที่สุดนำไปสู่การปรับใช้ BUSHWALKเวอร์ชันใหม่

บางกรณียังเกี่ยวข้องกับการใช้ส่วนประกอบ Ivanti ที่ถูกต้องตามกฎหมายในทางที่ผิด เช่น ปลั๊กอิน SparkGateway เพื่อลดเพย์โหลดเพิ่มเติม ซึ่งรวมถึงปลั๊กอิน PITFUEL เพื่อโหลดอ็อบเจ็กต์ที่ใช้ร่วมกันที่เป็นอันตรายชื่อรหัส LITTLELAMB.WOOLTEA ซึ่งมาพร้อมกับความสามารถในการคงอยู่ในเหตุการณ์การอัพเกรดระบบ แพตช์ และการรีเซ็ตเป็นค่าจากโรงงาน

“ในขณะที่ความพยายามที่จำกัดในการรักษาความคงอยู่นั้นไม่ประสบความสำเร็จจนถึงปัจจุบัน เนื่องจากขาดตรรกะในโค้ดของมัลแวร์ในการบัญชีสำหรับคีย์การเข้ารหัสที่ไม่ตรงกัน มันแสดงให้เห็นเพิ่มเติมถึงความยาวของ UNC5325 ที่จะรักษาการเข้าถึงเป้าหมายที่มีลำดับความสำคัญและเน้นย้ำถึง ความสำคัญของการตรวจสอบให้แน่ใจว่าอุปกรณ์เครือข่ายมีการอัพเดตและแพตช์ล่าสุด” บริษัทชี้ให้เห็น

นอกจากนี้ยังทำหน้าที่เป็นแบ็คดอร์ที่รองรับการดำเนินการคำสั่ง การจัดการไฟล์ การสร้างเชลล์ พร็อกซี SOCKS และช่องทางการรับส่งข้อมูลเครือข่าย

นอกจากนี้ ยังพบอีกว่าปลั๊กอิน Spark Gateway ที่เป็นอันตรายอีกตัวหนึ่งชื่อ PITDOG ซึ่งฉีดออบเจ็กต์ที่ใช้ร่วมกันซึ่งเรียกว่า PITHOOK เพื่อดำเนินการฝังอย่างต่อเนื่องที่เรียกว่า PITSTOP ซึ่งออกแบบมาเพื่อการดำเนินการคำสั่งเชลล์ การเขียนไฟล์ และการอ่านไฟล์บนอุปกรณ์ที่ถูกบุกรุก

Mandiant อธิบายว่าผู้แสดงภัยคุกคามได้แสดงให้เห็นถึง “ความเข้าใจที่เหมาะสมยิ่งเกี่ยวกับอุปกรณ์และความสามารถในการล้มล้างการตรวจจับตลอดแคมเปญนี้” และใช้เทคนิคการใช้ชีวิตนอกพื้นดิน (LotL) เพื่อบินไปใต้เรดาร์

บริษัทรักษาความปลอดภัยทางไซเบอร์แห่งนี้กล่าวว่า คาดว่า “UNC5325 รวมถึงหน่วยงานจารกรรมจีน-Nexus อื่นๆ จะยังคงใช้ประโยชน์จากช่องโหว่แบบ Zero Day บนอุปกรณ์เครือข่าย รวมถึงมัลแวร์เฉพาะอุปกรณ์ เพื่อรับและรักษาการเข้าถึงสภาพแวดล้อมเป้าหมาย”

พบลิงก์ระหว่างโวลต์ไต้ฝุ่นกับ UTA0178

การเปิดเผยดังกล่าวเกิดขึ้นในขณะที่บริษัท Dragos บริษัทรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรมระบุ ว่า Volt Typhoon (หรือที่รู้จักในชื่อ Voltzite) ที่จีนสนับสนุนนั้นเป็นกิจกรรมการลาดตระเวนและการแจกแจงที่มุ่งเป้าไปที่บริษัทไฟฟ้าในสหรัฐฯ หลายแห่ง บริการฉุกเฉิน ผู้ให้บริการโทรคมนาคม ฐานอุตสาหกรรมด้านการป้องกัน และบริการดาวเทียม

Reference : https://thehackernews.com/2024/02/chinese-hackers-exploiting-ivanti-vpn.html

ขอบคุณครับ

บริษัท a2network (Thailand ) จำกัด

ติดต่อ : 02-261-3020