Seit Anfang Dezember 2023 haben mutmaßliche Staatsakteure im Rahmen von Nachaktivitäten mindestens fünf verschiedene Malware-Familien eingesetzt, um zwei Zero-Day-Sicherheitslücken in der Ivanti Connect Secure (ICS) VPN-Appliance auszunutzen. Laut einer Analyse von Mandiant, einer von Google betriebenen Threat-Intelligence-Firma, ermöglichen diese Familien den Angreifern, die Authentifizierung zu umgehen und eine Hintertür für den Zugriff auf diese Geräte zu schaffen. Mandiant verfolgt die Aktivitäten des Bedrohungsakteurs unter dem Namen UNC5221. Die Angriffe nutzen eine Exploit-Kombination aus einer Schwachstelle zur Umgehung der Authentifizierung (${match}) und einer Schwachstelle zur Codeinjektion (${match}), um anfällige Geräte zu übernehmen.
Die Sicherheitsfirma Volexity, die diese Aktivitäten einer mutmaßlich chinesischen Spionagegruppe namens UTA0178 zuschreibt, erklärte, dass die beiden Schwachstellen genutzt wurden, um anfänglichen Zugang zu erhalten, Webshells zu implementieren, legitime Dateien zu infiltrieren, Anmeldedaten und Konfigurationsdaten zu stehlen und weiter in das Opfer-Netzwerk einzudringen. Ivanti gibt an, dass weniger als 10 Kunden von den Eindringlingen betroffen waren, was darauf hindeutet, dass es sich um eine hoch spezialisierte Kampagne handeln könnte. Patches für die beiden Schwachstellen (informell bekannt als ConnectAround) sollen in der Woche ab dem 22. Januar verfügbar sein.
Die Analyse von Mandiant enthüllt das Vorhandensein von fünf verschiedenen benutzerdefinierten Malware-Familien, die nicht nur bösartigen Code in legitime Dateien innerhalb von ICS injizieren, sondern auch andere legitime Tools wie BusyBox und PySoxy nutzen, um nachfolgende Aktivitäten zu ermöglichen. „Aufgrund bestimmter Bereiche des Geräts, die nur lesbar sind, hat UNC5221 ein Perl-Skript (sessionserver.pl) verwendet, um das Dateisystem als schreibend zu mounten und die Bereitstellung von THINSPOOL zu ermöglichen, einem Skript-Dropper, der die Web-Shell LIGHTWIRE in eine legitime Connect Secure-Datei schreibt, sowie andere nachfolgende Tools“, erklärte das Unternehmen. LIGHTWIRE ist eine der beiden Web-Shells, neben WIREFIRE, die als „leichte Stützpunkte“ konzipiert sind, um dauerhaften remote-Zugriff auf kompromittierte Geräte zu gewährleisten. Während LIGHTWIRE in Perl CGI geschrieben ist, ist WIREFIRE in Python implementiert.
In den Angriffen werden auch ein JavaScript-basierter Credential Stealer namens WARPWIRE und ein passiver Backdoor namens ZIPLINE eingesetzt. ZIPLINE ist in der Lage, Dateien hoch- und herunterzuladen, eine Reverse Shell einzurichten, einen Proxy-Server zu erstellen und einen Tunnel-Server einzurichten, um den Datenverkehr zwischen mehreren Endpunkten zu versenden. „Dies deutet darauf hin, dass es sich nicht um Gelegenheitsangriffe handelt und UNC5221 beabsichtigte, seine Präsenz auf einer bestimmten Anzahl von hochrangigen Zielen aufrechtzuerhalten, die nach der Veröffentlichung eines Patches zwangsläufig kompromittiert wurden“, fügte Mandiant hinzu.
UNC5221 wurde bisher keiner bekannten Gruppe oder einem bestimmten Land zugeordnet, obwohl die Ausrichtung auf Edge-Infrastrukturen durch die Nutzung von Zero-Day-Schwachstellen und die Verwendung von Kompromittierungsbefehls- und -kontrollinfrastrukturen (C2) zur Umgehung der Erkennung alle Merkmale einer fortgeschrittenen andauernden Bedrohung (APT) aufweist. „Die Aktivitäten von UNC5221 zeigen, dass das Ausnutzen und das Verbleiben an den Rändern von Netzwerken ein lohnendes und attraktives Ziel für Spionageakteure bleibt“, so Mandiant.