Новости Взлом Ivanti: китайские хакеры нашли слабое звено в корпоративных сетях

[NewsMaker]

Две цепочки атак, которые потрясли облака.

---

---

CISA и ФБР опубликовали Для просмотра ссылки Войди или Зарегистрируйся двух сложных цепочек эксплуатации уязвимостей, которые использовались китайскими Для просмотра ссылки Войди или Зарегистрируйся для атак на облачные сервисные устройства Ivanti CSA. Были представлены индикаторы компрометации (IOC) и другие данные, полученные в ходе ликвидации последствий атак.

Хакеры использовали две основные цепочки эксплуатации и применяли методы бокового перемещения (Lateral Movement) для получения удалённого доступа, сбора учетных данных и установки веб-шеллов на скомпрометированных системах.

Уязвимости Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.4), Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 6.5), Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.2) и Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.2) стали основными целями для кибершпионов. В одном из сценариев атаки использовались уязвимости CVE-2024-8963, CVE-2024-8190 и CVE-2024-9380, а во втором — комбинация CVE-2024-8963 и CVE-2024-9379. В ряде случаев злоумышленники переходили на дополнительные серверы внутри атакованной инфраструктуры.

Уязвимости затрагивают версии Ivanti CSA 4.6x до 519, а также версии 5.0.1 и ниже. Проблема заключается в том, что версия 4.6 больше не поддерживается и не получает обновлений безопасности, что делает её особенно уязвимой. Однако компания Ivanti подтвердила, что на последней версии CSA 5.0 данные уязвимости не эксплуатировались.

Агентства также поделились подробным описанием работы хакеров. В одном из случаев системный администратор обнаружил подозрительное создание учетных записей и оперативно предотвратил атаку. В другом Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся зафиксировала выполнение зашифрованных скриптов для создания веб-шеллов. В третьем случае предыдущие индикаторы компрометации помогли быстро выявить подозрительную активность, включая использование инструментов Obelisk и GoGo Scanner.

Во всех описанных ситуациях пострадавшие организации заменили виртуальные машины на чистые и обновлённые версии. Агентства настоятельно рекомендуют специалистам по безопасности анализировать логи и артефакты для поиска следов проникновения, а также рассматривать все учетные данные, хранящиеся на затронутых устройствах, как потенциально скомпрометированные.

Mandiant связала атаки с китайской Для просмотра ссылки Войди или Зарегистрируйся -группой UNC5221, которая ранее в декабре 2023 года Для просмотра ссылки Войди или Зарегистрируйся Ivanti Connect Secure. В ходе атак использовались кастомные вредоносные программы, включая бэкдор Zipline, дроппер Thinspool, веб-шелл Lightwire и средство для сбора учетных данных Warpwire. Также фиксировалось использование инструмента туннелирования PySoxy и BusyBox для последующей активности.