Bilgisayar korsanları, casusluk amacıyla birden fazla özel kötü amaçlı yazılım ailesini dağıtmak için Aralık ayının başından beri bu hafta açıklanan Ivanti Connect Secure'daki iki sıfır günlük güvenlik açıkından yararlanıyor.
CVE-2023-46805 ve CVE-2024-21887 olarak tanımlanan güvenlik sorunları, kimlik doğrulamasını atlamaya ve savunmasız sistemlere keyfi komutların enjekte edilmesine izin verir. Ivanti, saldırganların az sayıda müşterisini hedef aldığını söyledi.
Ivanti ile olayı araştıran Maniant'tan bir rapor, saldırıların arkasındaki tehdit oyuncusunun casuslukla uğraştığını ve şu anda dahili olarak UNC5221 olarak izlendiğini belirtiyor.
Bugün, tehdit izleme hizmeti Shadowserver, tarayıcılarının, çoğu Amerika Birleşik Devletleri'ndeki halka açık ağda 17.100 Invanti CS aletini algıladığını X'de yayınladı.
Bununla birlikte, kaçının savunmasız olduğuna dair bir gösterge yoktur.
Mantiant, UNC5221'in, Webshells ekmek, komutları yürütmek, yükleri bırakmak ve kimlik bilgilerini çalmak için beş özel kötü amaçlı yazılım içeren ve kimlik bilgilerini çalmak için bir dizi araç kullandığını buldu.
İşte saldırılarda kullanılan araçların bir özeti:
"Zipline bu aileler için en dikkat çekici olanıdır, libSecure \ .So. Zipline, şebeke trafiğini engelleyen ve dosya aktarımını, ters kabuğu, tünellemeyi ve proxying'i destekleyen ihraç edilen bir işlevi kabul eden pasif bir arka kapıdır" dedi. X (eski adıyla Twitter) üzerinde maniant güvenlik araştırmacısı.
Mantiant ayrıca saldırganların, tespit edilmesinden kaçınmak için, konumlarının hedefle aynı bölgeye ayarlanmış olarak C2 sunucuları olarak yaşam sonu siberoam VPN cihazlarını kullandıklarını buldu.
Volexity daha önce Çin devlet destekli tehdit aktörleri tarafından yürütülen saldırıların işaretlerini gördüğünü bildirmişti. Bununla birlikte, Mantiant'ın raporu, tehdit oyuncusunun potansiyel kökenli veya bağlılığı hakkında herhangi bir atıfta bulunmaz veya bilgi sağlamaz.
Google şirketi, UNC5221'in kökenini güvenle değerlendirmek için yeterli veri olmadığını ve etkinliğinin daha önce bilinen herhangi bir tehdit grubuyla bağlantılı olmadığını belirtti.
Atıf olmadan bile, sürekli erişim sağlayan özel kötü amaçlı yazılım kullanımı, bir yama kullanılabilir hale geldikten sonra bile "UNC5221'in yüksek öncelikli hedeflerin bir alt kümesinde varlığını sürdürmeyi amaçladığını" göstermektedir.
Maniant, UNC5221'in yüksek öncelikli hedeflere bakan gelişmiş bir kalıcı tehdit (APT) olduğundan şüpheleniyor.
Sistem yöneticileri, şu anda iki sıfır güne hitap eden bir güvenlik güncellemesi olmadığı hatırlatılır, ancak Ivanti hemen uygulanması gereken hafifletmeler sağlar.
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Ivanti, saldırılarda sömürülen Connect Secure Zero-Days konusunda uyarıyor
Microsoft Ocak 2024 Patch Salı 49 kusur, 12 RCE Bugs düzeltiyor
CISA, üçgenleme casus yazılım saldırılarında kullanılan dördüncü kusurun ajanslarını uyarıyor
Kaynak: Bleeping Computer