CISA и ФБР опубликовали технические детали двух сложных цепочек эксплуатации уязвимостей, которые использовались китайскими хакерами для атак на облачные сервисные устройства Ivanti CSA. Были представлены индикаторы компрометации (IOC) и другие данные, полученные в ходе ликвидации последствий атак.
Хакеры использовали две основные цепочки эксплуатации и применяли методы бокового перемещения (Lateral Movement) для получения удалённого доступа, сбора учетных данных и установки веб-шеллов на скомпрометированных системах.
Уязвимости CVE-2024-8963 (оценка CVSS: 9.4), CVE-2024-9379 (оценка CVSS: 6.5), CVE-2024-8190 (оценка CVSS: 7.2) и CVE-2024-9380 (оценка CVSS: 7.2) стали основными целями для кибершпионов. В одном из сценариев атаки использовались уязвимости CVE-2024-8963, CVE-2024-8190 и CVE-2024-9380, а во втором – комбинация CVE-2024-8963 и CVE-2024-9379. В ряде случаев злоумышленники переходили на дополнительные серверы внутри атакованной инфраструктуры.
Уязвимости затрагивают версии Ivanti CSA 4.6x до 519, а также версии 5.0.1 и ниже. Проблема заключается в том, что версия 4.6 больше не поддерживается и не получает обновлений безопасности, что делает её особенно уязвимой. Однако компания Ivanti подтвердила, что на последней версии CSA 5.0 данные уязвимости не эксплуатировались.
Агентства также поделились подробным описанием работы хакеров. В одном из случаев системный администратор обнаружил подозрительное создание учетных записей и оперативно предотвратил атаку. В другом инциденте система защиты конечных точек зафиксировала выполнение зашифрованных скриптов для создания веб-шеллов. В третьем случае предыдущие индикаторы компрометации помогли быстро выявить подозрительную активность, включая использование инструментов Obelisk и GoGo Scanner.
Во всех описанных ситуациях пострадавшие организации заменили виртуальные машины на чистые и обновлённые версии. Агентства настоятельно рекомендуют специалистам по безопасности анализировать логи и артефакты для поиска следов проникновения, а также рассматривать все учетные данные, хранящиеся на затронутых устройствах, как потенциально скомпрометированные.
Mandiant связала атаки с китайской APT -группой UNC5221, которая ранее в декабре 2023 года эксплуатировала уязвимости в VPN-устройствах Ivanti Connect Secure. В ходе атак использовались кастомные вредоносные программы, включая бэкдор Zipline, дроппер Thinspool, веб-шелл Lightwire и средство для сбора учетных данных Warpwire. Также фиксировалось использование инструмента туннелирования PySoxy и BusyBox для последующей активности.