Mandiant, im Besitz von Google, gab bekannt, dass sie neue Malware identifiziert hat, die von einer chinesischen Spionagegruppe namens UNC5221 und anderen Bedrohungsgruppen eingesetzt wird. Diese Gruppen haben nach der Ausnutzung verschiedener Schwachstellen die VPN- und Policy Secure-Geräte von Ivanti Connect Secure ins Visier genommen. Die Malware umfasst benutzerdefinierte Web-Shells wie BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE. „CHAINLINE ist ein Python Web-Shell Backdoor, das in einem Python-Paket von Ivanti Connect Secure eingebettet ist und die Ausführung beliebiger Befehle ermöglicht“, so das Unternehmen. Zusätzlich wurde auch eine Vielzahl neuer Versionen von WARPWIRE entdeckt, einem auf JavaScript basierenden Credential Stealer. Die Infektionsketten umfassen eine erfolgreiche Ausnutzung der Schwachstellen CVE-2023-46805 und CVE-2024-21887, die es einem nicht authentifizierten Angreifer ermöglichen, beliebige Befehle mit erhöhten Rechten auf der Ivanti-Appliance auszuführen. Diese Schwachstellen werden seit Anfang Dezember 2023 als Zero-Days ausgenutzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland hat bereits „mehrere kompromittierte Systeme“ im Land festgestellt. BUSHWALK, eine in Perl geschriebene Malware, wird durch Umgehung der von Ivanti implementierten Schutzmaßnahmen in gezielten Angriffen eingesetzt und ist in eine legitime Connect Secure-Datei namens „querymanifest.cgi“ eingebettet. BUSHWALK ermöglicht das Lesen und Schreiben von Dateien auf einem Server. FRAMESTING hingegen ist eine in Python geschriebene Web-Shell, die in einem Python-Paket von Ivanti Connect Secure eingebettet ist und beliebige Befehle ausführen kann. Die Analyse des ZIPLINE-Passive-Backdoors von Mandiant hat auch gezeigt, dass umfangreiche Funktionen verwendet werden, um die Authentifizierung des benutzerdefinierten Protokolls sicherzustellen, das für die Steuerung und Kontrolle verwendet wird. Darüber hinaus zeichnen sich die Angriffe durch den Einsatz von Open-Source-Dienstprogrammen wie Impacket, CrackMapExec, iodine und Enum4linux aus, um die Nach-Exploitation-Aktivitäten auf den Ivanti CS-Geräten zu unterstützen. Ivanti hat inzwischen zwei weitere Sicherheitslücken bekanntgegeben, CVE-2024-21888 und CVE-2024-21893, von denen letztere aktiv ausgenutzt wird und sich gegen eine „begrenzte Anzahl von Kunden“ richtet. Das Unternehmen hat bereits erste Fixes veröffentlicht, um die vier Schwachstellen zu beheben. Es wird berichtet, dass UNC5221 eine Vielzahl von Branchen ins Visier nimmt, die für China von strategischem Interesse sind, wobei sich die Infrastruktur und Werkzeuge mit früheren Angriffen chinesischer Spionageakteure überschneiden. Mandiant stellt fest, dass „in den Ermittlungen zum Vorfall identifizierte Linux-basierte Tools Code aus mehreren chinesischsprachigen Github-Repositories verwenden“. UNC5221 hat hauptsächlich TTPs (Taktiken, Techniken und Verfahren) genutzt, die mit Zero-Day-Ausnutzungen von Randinfrastrukturen durch mutmaßlich mit der Volksrepublik China verbundene Akteure in Verbindung stehen.