Mandiant, perusahaan keamanan milik Google, baru-baru ini mengumumkan penemuan malware terbaru yang digunakan oleh kelompok spionase yang berhubungan dengan China, dikenal sebagai UNC5221, dan kelompok ancaman lainnya. Malware ini aktif dalam serangkaian aktivitas pasca-eksploitasi yang menargetkan perangkat Ivanti Connect Secure VPN dan Policy Secure.
Dalam serangan ini, kelompok tersebut menggunakan shell web khusus seperti BUSHWALK, CHAINLINE, FRAMESTING, dan varian LIGHTWIRE. Menurut Mandiant, CHAINLINE merupakan pintu belakang shell web Python yang disematkan dalam paket Ivanti Connect Secure Python, memungkinkan eksekusi perintah sewenang-wenang, dan terkait dengan UNC5221. Perusahaan ini juga mendeteksi varian baru dari WARPWIRE, sejenis pencuri kredensial berbasis JavaScript.
Rantai infeksi melibatkan eksploitasi keberhasilan CVE-2023-46805 dan CVE-2024-21887, yang memungkinkan pelaku ancaman menjalankan perintah sewenang-wenang pada perangkat Ivanti dengan hak istimewa lebih tinggi. Kelemahan ini telah disalahgunakan sebagai zero-day sejak Desember 2023, dengan Kantor Federal untuk Keamanan Informasi (BSI) Jerman mengonfirmasi adanya infiltrasi di negara tersebut.
BUSHWALK, yang ditulis dalam Perl, dan FRAMESTING, shell web Python, diimplementasikan dengan menghindari mitigasi Ivanti dalam serangan yang sangat tertarget. Mereka tertanam dalam file Connect Secure yang sah dan memberikan kemampuan membaca atau menulis file ke server.
Sementara itu, analisis Mandiant terhadap pintu belakang pasif ZIPLINE mengungkapkan penggunaan fungsi ekstensif untuk memastikan otentikasi protokol khusus yang digunakan untuk menetapkan perintah dan kontrol (C2).
Serangan ini juga ditandai oleh penggunaan utilitas sumber terbuka seperti Ipacket, CrackMapExec, yodium, dan Enum4linux untuk mendukung aktivitas pasca-eksploitasi, termasuk pengintaian jaringan, pergerakan lateral, dan penyelundupan data di lingkungan korban.
Ivanti telah mengidentifikasi dua kelemahan keamanan tambahan, CVE-2024-21888 dan CVE-2024-21893, yang telah dieksploitasi secara aktif dengan menargetkan sejumlah pelanggan terbatas. Perusahaan ini telah merilis perbaikan putaran pertama untuk mengatasi keempat kerentanan tersebut.
UNC5221 disebutkan menargetkan berbagai industri yang strategis bagi Tiongkok, dengan infrastruktur dan peralatan yang tumpang tindih dengan intrusi masa lalu yang terkait dengan aktor spionase berbasis di Tiongkok. Mandiant menyatakan bahwa alat berbasis Linux dalam investigasi respons insiden ini menggunakan kode dari beberapa repositori GitHub berbahasa Mandarin, dan UNC5221 sebagian besar memanfaatkan TTP terkait dengan eksploitasi infrastruktur edge zero-day yang diduga dilakukan oleh pelaku hubungan RRT.
Source: https://thehackernews.com/2024/02/warning-new-malware-emerges-in-attacks.html
Dalam serangan ini, kelompok tersebut menggunakan shell web khusus seperti BUSHWALK, CHAINLINE, FRAMESTING, dan varian LIGHTWIRE. Menurut Mandiant, CHAINLINE merupakan pintu belakang shell web Python yang disematkan dalam paket Ivanti Connect Secure Python, memungkinkan eksekusi perintah sewenang-wenang, dan terkait dengan UNC5221. Perusahaan ini juga mendeteksi varian baru dari WARPWIRE, sejenis pencuri kredensial berbasis JavaScript.
Rantai infeksi melibatkan eksploitasi keberhasilan CVE-2023-46805 dan CVE-2024-21887, yang memungkinkan pelaku ancaman menjalankan perintah sewenang-wenang pada perangkat Ivanti dengan hak istimewa lebih tinggi. Kelemahan ini telah disalahgunakan sebagai zero-day sejak Desember 2023, dengan Kantor Federal untuk Keamanan Informasi (BSI) Jerman mengonfirmasi adanya infiltrasi di negara tersebut.
BUSHWALK, yang ditulis dalam Perl, dan FRAMESTING, shell web Python, diimplementasikan dengan menghindari mitigasi Ivanti dalam serangan yang sangat tertarget. Mereka tertanam dalam file Connect Secure yang sah dan memberikan kemampuan membaca atau menulis file ke server.
Sementara itu, analisis Mandiant terhadap pintu belakang pasif ZIPLINE mengungkapkan penggunaan fungsi ekstensif untuk memastikan otentikasi protokol khusus yang digunakan untuk menetapkan perintah dan kontrol (C2).
Serangan ini juga ditandai oleh penggunaan utilitas sumber terbuka seperti Ipacket, CrackMapExec, yodium, dan Enum4linux untuk mendukung aktivitas pasca-eksploitasi, termasuk pengintaian jaringan, pergerakan lateral, dan penyelundupan data di lingkungan korban.
Ivanti telah mengidentifikasi dua kelemahan keamanan tambahan, CVE-2024-21888 dan CVE-2024-21893, yang telah dieksploitasi secara aktif dengan menargetkan sejumlah pelanggan terbatas. Perusahaan ini telah merilis perbaikan putaran pertama untuk mengatasi keempat kerentanan tersebut.
UNC5221 disebutkan menargetkan berbagai industri yang strategis bagi Tiongkok, dengan infrastruktur dan peralatan yang tumpang tindih dengan intrusi masa lalu yang terkait dengan aktor spionase berbasis di Tiongkok. Mandiant menyatakan bahwa alat berbasis Linux dalam investigasi respons insiden ini menggunakan kode dari beberapa repositori GitHub berbahasa Mandarin, dan UNC5221 sebagian besar memanfaatkan TTP terkait dengan eksploitasi infrastruktur edge zero-day yang diduga dilakukan oleh pelaku hubungan RRT.
Source: https://thehackernews.com/2024/02/warning-new-malware-emerges-in-attacks.html