Investigaciones recientes de Mandiant han revelado que los actores de amenazas chinos han desarrollado nuevas técnicas para moverse lateralmente después de explotar las vulnerabilidades de Ivanti.

La actividad de cinco grupos de espionaje sospechosos con nexos chinos ha sido detallada por Mandiant en una publicación de blog, fechada el 4 de abril.

La actividad sigue a la explotación de las vulnerabilidades CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893, que fueron identificadas previamente en las puertas de enlace Ivanti Connect Secure y Ivanti Policy Secure. Uno de estos grupos, rastreado como UNC5291, ha sido evaluado por Mandiant con una confianza media como Volt Typhoon, que está apuntando a los sectores energético y de defensa de EE. UU.

Además, Mandiant dijo que ha identificado actores con motivaciones financieras que explotan CVE-2023-46805 y CVE-2024-21887, probablemente para habilitar operaciones como la minería de criptomonedas. En total, el análisis ha observado ocho grupos distintos involucrados en la explotación de una o más de estas vulnerabilidades de Ivanti.

El informe sigue una advertencia urgente de los países de la alianza Five Eyes el 29 de febrero de que los actores de amenazas cibernéticas están explotando estas vulnerabilidades, que se hicieron públicas a principios de 2024.

A partir del 3 de abril, un parche está disponible para todas las versiones compatibles de Ivanti Connect Secure afectadas por las vulnerabilidades. Las organizaciones también son recomendadas a utilizar la nueva mejora de Ivanti. Este compromiso incluye mejoras en el programa de gestión de vulnerabilidades para identificar y abordar mejor y más rápidamente posibles problemas en colaboración con el ecosistema de seguridad más amplio.

Como parte de este esfuerzo, se descubrieron vulnerabilidades en los productos Ivanti Connect Secure y Policy Secure. Fueron reportadas las vulnerabilidades como CVE-2024-21894, CVE-2024-22052, CVE-2024-22053 y CVE-2024-22023. Un parche está disponible ahora para todas las versiones compatibles de Ivanti Connect Secure y Policy Secure. También hay una ICT externa actualizada disponible para estas actualizaciones.

También se lanzó el 3 de abril, para detectar posibles intentos de persistencia de malware a través de reinicios de fábrica y actualizaciones del sistema y otras tácticas, técnicas y procedimientos (TTP) observados en la campo.

Nuevas TTP para el Movimiento Lateral Post-Explotación: Mandiant ha observado que los grupos con nexos chinos aprovechan nuevo malware después de la explotación de los dispositivos Ivanti Connect Secure. Estas herramientas están diseñadas para permitir el movimiento lateral mientras evitan la detección.

Familia de Malware SPAWN: Durante un análisis de Mandiant de compromiso por el actor de amenazas UNC5221, se emplearon cuatro componentes distintos del conjunto de herramientas de malware personalizado SPAWN juntos para crear una puerta trasera sigilosa y persistente en un dispositivo infectado.

Esta familia de malware también está diseñada para permitir el acceso a largo plazo y evitar la detección. Está compuesta por:

SPAWNANT: Un instalador que aprovecha una función del instalador coreboot para establecer persistencia para el túnel SPAWNMOLE y la puerta trasera SPAWNSNAIL.

SPAWNMOLE: Un túnel que se inyecta en el proceso web.

SPAWNSNAIL: Una puerta trasera que escucha en localhost.

SPAWNSLOTH: Un utilitario de manipulación de registros inyectado en el proceso dslogserver.

Shell Web ROOTROT: En la misma investigación de un dispositivo Ivanti Connect Secure comprometido por UNC5221, Mandiant también identificó el uso de una nueva shell web rastreada como ROOTROT. Esta shell web está escrita en Perl y está incrustada en un archivo .ttc legítimo de Connect Secure, lo que permite a los atacantes analizar el comando decodificado en Base64 y ejecutarlo con eval.

Se cree que ROOTROT fue creado en el sistema antes de la divulgación pública de los CVE asociados el 10 de enero de 2024, lo que sugiere un ataque dirigido. La implementación de ROOTROT en un dispositivo Connect Secure llevó a UNC5221 a iniciar el reconocimiento de red y el movimiento lateral hacia un servidor VMware vCenter.

Puerta Trasera BRICKSTORM UNC5221: accedió al dispositivo vCenter usando SSH y descargó la puerta trasera BRICKSTORM en el dispositivo. BRICKSTORM es una puerta trasera Go que apunta a servidores VMware vCenter, que tiene la capacidad de configurarse como un servidor web, realizar manipulación del sistema de archivos y directorios, operaciones de archivos como cargar/descargar, ejecutar comandos de shell y realizar el relé de comunicaciones BRICKSTORM SOCKS a través de WebSockets a un C2 codificado en duro.

C2 SLIVER: En una intrusión separada, el actor de amenazas UNC5266 desplegó copias del marco de comando y control (C2) SLIVER. Las copias de SLIVER se colocaron en tres ubicaciones separadas en el dispositivo comprometido, intentando hacerse pasar por archivos del sistema legítimos. UNC5266 modificó un archivo de servicio systemd para registrar una de las copias de SLIVER como un demonio persistente.

TERRIBLE TEA: En otra explotación, UNC5266 desplegó una puerta trasera Go llamada TERRIBLETEA. Esta puerta trasera Go se comunica a través de HTTP usando XXTEA para comunicaciones encriptadas, y tiene múltiples capacidades que incluyen ejecución de comandos, registro de pulsaciones de teclas e interacción con el sistema de archivos. TERRIBLETEA también puede tomar diferentes rutas de ejecución dependiendo del entorno para el que esté configurado.

Compromiso de Active Directory Tras el Movimiento Lateral: Otra técnica observada por los investigadores fue realizada por el grupo UNC5330, que encadenó CVE-2024-21893 y CVE-2024-21887 para el acceso inicial.

UNC5330 aprovechó una cuenta de enlace LDAP configurada en el dispositivo Ivanti Connect Secure comprometido para abusar de una plantilla de certificado de Windows vulnerable, creó un objeto de computadora y solicitó un certificado para un administrador de dominio. El actor de amenazas luego se hizo pasar por el administrador de dominio para realizar DCSyncs posteriores y extraer material de credenciales adicionales para moverse lateralmente.

Mandiant dijo que sus hallazgos subrayan la amenaza continua que enfrentan los dispositivos perimetrales, con una amplia gama de TTP que se emplean después de la explotación exitosa: «Aunque el uso de herramientas de código abierto es algo común, Mandiant sigue observando a actores que aprovechan malware personalizado que está diseñado para el dispositivo o el entorno que el actor está apuntando», escribieron los investigadores. Desde la divulgación inicial de CVE-2023-46805 y CVE-2024-21887 el 10 de enero de 2024, Mandiant ha realizado múltiples compromisos de respuesta a incidentes en una variedad de verticales de la industria y regiones geográficas.

Mandiant ha observado diferentes tipos de actividades post-explotación en nuestros compromisos de respuesta a incidentes, incluido el movimiento lateral con el despliegue de herramientas de código abierto y familias de malware personalizadas. Además, que estos actores de amenazas con nexos chinos evolucionan su comprensión de Ivanti Connect Secure abusando de la funcionalidad específica del dispositivo para lograr sus objetivos.

A partir del 3 de abril de 2024, hay un parche disponible para todas las versiones compatibles de Ivanti Connect Secure afectadas por las vulnerabilidades. Recomendamos que los clientes sigan la última guía de parches e instrucciones de Ivanti para prevenir una mayor actividad de explotación. Además, Ivanti lanzó una nueva herramienta mejorada de integridad externa (ICT) para detectar posibles intentos de persistencia de malware a través de reinicios de fábrica y actualizaciones del sistema y otras tácticas, técnicas y procedimientos (TTP) observados en la naturaleza. También lanzo la empresa una guía de remediación y fortalecimiento, que incluye recomendaciones.

Mandiant recomienda que los clientes ejecuten tanto el ICT interno como el externo más reciente lanzado junto con un nuevo parche el 3 de abril de 2024, como parte de una estrategia integral de defensa en profundidad.

Además de los grupos de espionaje sospechosos con nexos chinos, Mandiant también ha identificado actores con motivaciones financieras que están explotando CVE-2023-46805 y CVE-2024-21887, probablemente para habilitar operaciones como la minería de criptomonedas. Desde la divulgación pública el 10 de enero de 2024, Mandiant ha observado ocho grupos distintos involucrados en la explotación de una o más de estas vulnerabilidades de Ivanti. De estos, destacamos cinco grupos de China que han realizado intrusiones.

En febrero de 2024, Mandiant identificó un grupo de actividad rastreado como UNC5291, que evaluaron con confianza media como Volt Typhoon, apuntando a los sectores energético y de defensa de EE. UU. La campaña UNC5291 apuntó a Citrix Netscaler ADC en diciembre de 2023 y probó dispositivos Ivanti Connect Secure a mediados de enero de 2024, sin embargo, Mandiant no ha observado directamente que Volt Typhoon comprometa Ivanti Connect Secure.

UNC5221

UNC5221 es un actor de amenazas sospechoso con nexos chinos que Mandiant está rastreando como el único grupo que explota CVE-2023-46805 y CVE-2024-21887 durante el período previo a la divulgación desde principios de diciembre de 2023. UNC5221 también llevó a cabo una explotación generalizada de CVE-2023-46805 y CVE-2024-21887 tras la divulgación pública el 10 de enero de 2024.

UNC5266 Mandiant creó UNC5266 para rastrear la explotación posterior a la divulgación que lleva al despliegue del marco de implante Bishop Fox SLIVER, una variante de WARPWIRE y una nueva familia de malware que Mandiant ha llamado TERRIBLETEA. En este momento, basado en similitudes de uso de infraestructura observadas, Mandiant sospecha con moderada confianza que UNC5266 se superpone en parte con UNC3569, un actor de espionaje sospechoso con nexos chinos que se ha observado explotando vulnerabilidades en Aspera Faspex, Microsoft Exchange y Oracle Web Applications Desktop Integrator, entre otros, para obtener acceso inicial a entornos objetivo.

UNC5330

UNC5330 es un actor de espionaje sospechoso con nexos chinos. Se ha observado que UNC5330 encadena CVE-2024-21893 y CVE-2024-21887 para comprometer dispositivos Ivanti Connect Secure VPN tan pronto como en febrero de 2024. La actividad posterior a la compromisión por UNC5330 incluye el despliegue de PHANTOMNET y TONERJAM. UNC5330 ha empleado Windows Management Instrumentation (WMI) para realizar reconocimiento, moverse lateralmente, manipular entradas de registro y establecer persistencia.

Mandiant observó que UNC5330 operaba un servidor desde el 6 de diciembre de 2021, que el grupo utilizaba como proxy GOST para ayudar a facilitar el despliegue de herramientas maliciosas a puntos finales. El certificado predeterminado para el proxy GOST se observó desde el 1 de septiembre de 2022 hasta el 1 de enero de 2024. UNC5330 también intentó descargar Fast Reverse Proxy (FRP) desde este servidor el 3 de febrero de 2024, desde un dispositivo Ivanti Connect Secure comprometido. Dado el reuso de claves SSH junto con la proximidad temporal de estos eventos, Mandiant evalúa con moderada confianza que UNC5330 ha estado operando a través de este servidor desde al menos 2021.

UNC5337

UNC5337 es un actor de espionaje sospechoso con nexos chinos que comprometió dispositivos Ivanti Connect Secure VPN tan pronto como en enero de 2024. Se sospecha que UNC5337 explota CVE-2023-46805 (bypass de autenticación) y CVE-2024-21887 (inyección de comandos) para infectar dispositivos Ivanti Connect Secure. UNC5337 empleó múltiples familias de malware personalizadas, incluida la puerta trasera pasiva SPAWNSNAIL, el tunelero SPAWNMOLE, el instalador SPAWNANT y la utilidad de manipulación de registros SPAWNSLOTH. Mandiant sospecha con confianza media que UNC5337 es UNC5221.

Nuevas TTP y Malware

Mandiant ha identificado TTP adicionales utilizadas por actores de amenazas para obtener acceso a entornos objetivo y moverse lateralmente dentro de ellos. Además, Mandiant ha identificado varias nuevas familias de código aprovechadas por actores de amenazas tras la explotación de dispositivos Ivanti Connect Secure. De estas familias de código, varias se evalúan como familias de malware personalizadas; sin embargo, Mandiant también ha identificado el uso de herramientas de código abierto, como SLIVER y CrackMapExec.

Esta es solo una visión general de la extensa investigación de Mandiant sobre las nuevas técnicas de amenaza china en relación con las vulnerabilidades de Ivanti. Las organizaciones deben estar al tanto de estas amenazas en evolución y tomar medidas adecuadas para proteger sus redes y sistemas contra tales intrusiones.

Este artículo proporciona una mirada detallada a la sofisticación y la diversidad de las tácticas utilizadas por los actores de amenazas, subrayando la necesidad crítica de una defensa cibernética sólida y proactiva en todos los niveles de una organización.

Fuente: https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement