Mindestens zwei verschiedene verdächtigte China-zugeordnete Cyber-Spionage-Cluster, die als UNC5325 und UNC3886 verfolgt werden, wurden dem Ausnutzen von Sicherheitslücken in Ivanti Connect Secure VPN-Geräten zugeschrieben.
UNC5325 nutzte CVE-2024-21893 aus, um eine Vielzahl neuer Malware mit den Namen LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET und PITHOOK zu liefern sowie den dauerhaften Zugriff auf kompromittierte Geräte aufrechtzuerhalten, so Mandiant.
Die von Google-eigene Bedrohungsanalysefirma hat mit mäßigem Vertrauen festgestellt, dass UNC5325 aufgrund von Überlappungen im Quellcode von LITTLELAMB.WOOLTEA und PITHOOK mit Malware, die von letzterem verwendet wird, mit UNC3886 verbunden ist.
Es sei darauf hingewiesen, dass UNC3886 eine Erfolgsbilanz beim Ausnutzen von Zero-Day-Schwachstellen in Fortinet- und VMware-Lösungen hat, um eine Vielzahl von Implantaten wie VIRTUALPITA, VIRTUALPIE, THINCRUST und CASTLETAP bereitzustellen.
„UNC3886 hat hauptsächlich Verteidigungsindustrie, Technologie- und Telekommunikationsorganisationen in den USA und in der asiatisch-pazifischen Region ins Visier genommen“, sagten die Forscher von Mandiant.
Die aktive Ausnutzung von CVE-2024-21893 – einer Server-seitigen Anfragefälschungs (SSRF)-Schwachstelle im SAML-Bestandteil von Ivanti Connect Secure, Ivanti Policy Secure und Ivanti Neurons für ZTA – durch UNC5325 soll laut Mandiant bereits am 19. Januar 2024 begonnen haben und eine begrenzte Anzahl von Geräten zum Ziel haben.
Die Angriffskette beinhaltet das Kombinieren von CVE-2024-21893 mit einer zuvor offengelegten Befehlseinschleusungs-Schwachstelle, die als CVE-2024-21887 verfolgt wird, um unbefugten Zugriff auf anfällige Geräte zu erlangen, was letztendlich zur Bereitstellung einer neuen Version von BUSHWALK führt.
In einigen Fällen wurde auch der Missbrauch legitimer Ivanti-Komponenten, wie beispielsweise SparkGateway-Plugins, beobachtet, um zusätzliche Nutzlasten zu hinterlegen.
Die Bedrohungsakteure wurden als solche beschrieben, die ein „nuanciertes Verständnis der Geräte und ihre Fähigkeit, während dieser Kampagne die Erkennung zu unterwandern, gezeigt haben“ und dabei Techniken des „Living-off-the-Land“ (LotL) verwendet haben, um unter dem Radar zu fliegen.
Weiterhin wird erwartet, dass „UNC5325 sowie andere China-nexus Spionageakteure auch weiterhin Zero-Day-Schwachstellen in Netzwerkrandgeräten sowie gerätespezifische Malware ausnutzen werden, um Zugang zu Zielumgebungen zu gewinnen und aufrechtzuerhalten.“
„Voltzite nutzt sehr minimale Werkzeuge und zieht es vor, seine Operationen so wenig wie möglich zu hinterlassen“, erklärte Dragos. „Voltzite konzentriert sich stark auf die Vermeidung von Erkennung und den langfristigen dauerhaften Zugriff mit dem angenommenen Ziel von langfristiger Spionage und Datenexfiltration.“