Siber Muhbir

Buna BUSHWALK, CHAINLINE, FRAMESTING gibi özel web kabukları ve LIGHTWIRE'ın bir çeşidi dahildir.

Şirket, "CHAINLINE, rastgele komut yürütmeyi sağlayan bir Ivanti Connect Secure Python paketine gömülü bir Python web kabuğu arka kapısıdır" dedi ve bunu UNC5221'e atfetti ve JavaScript tabanlı bir kimlik bilgisi hırsızı olan WARPWIRE'ın birden fazla yeni sürümünü de tespit ettiğini ekledi.

Enfeksiyon zincirleri, kimliği doğrulanmamış bir tehdit aktörünün yükseltilmiş ayrıcalıklarla Ivanti cihazında rastgele komutlar yürütmesine izin veren CVE-2023-46805 ve CVE-2024-21887'nin başarılı bir şekilde kullanılmasını gerektirir.

Kusurlar, Aralık 2023'ün başından bu yana sıfır gün olarak kötüye kullanıldı. Almanya Federal Bilgi Güvenliği Ofisi (BSI), ülkede "birden fazla güvenliği ihlal edilmiş sistemin" farkında olduğunu söyledi.

Perl'de yazılan ve yüksek hedefli saldırılarda Ivanti tarafından verilen azaltmaları atlatarak dağıtılan BUSHWALK, "querymanifest.cgi" adlı meşru bir Connect Secure dosyasına gömülüdür ve bir sunucuya dosya okuma veya yazma yeteneği sunar.

Öte yandan, FRAMESTING, rastgele komut yürütmeyi sağlayan bir Ivanti Connect Secure Python paketine ("/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py" yolunda bulunur) gömülü bir Python web kabuğudur.

Mandiant'ın ZIPLINE pasif arka kapısı analizi, "komuta ve kontrol (C2) oluşturmak için kullanılan özel protokolünün kimlik doğrulamasını sağlamak için kapsamlı işlevsellik" kullanımını da ortaya çıkardı.

Ayrıca saldırılar, ağ keşfi, yanal hareket ve kurban ortamlarında veri hırsızlığı dahil olmak üzere Ivanti CS cihazlarında istismar sonrası etkinliği desteklemek için Impacket, CrackMapExec, iyot ve Enum4linux gibi açık kaynaklı yardımcı programların kullanılmasıyla karakterize edilir.

Ivanti o zamandan beri CVE-2024-21888 ve CVE-2024-21893 olmak üzere iki güvenlik açığı daha açıkladı ve ikincisi "sınırlı sayıda müşteriyi" hedef alan aktif istismara maruz kaldı. Şirket ayrıca dört güvenlik açığını gidermek için ilk düzeltme turunu yayınladı.

UNC5221'nin, Çin merkezli casusluk aktörleriyle bağlantılı geçmiş saldırılarla örtüşen altyapısı ve araçları ile Çin'in stratejik çıkarları olan çok çeşitli endüstrileri hedeflediği söyleniyor.

Mandiant, "Olay müdahale araştırmalarında tanımlanan Linux tabanlı araçlar, birden fazla Çince Github deposundan kod kullanıyor" dedi. "UNC5221, şüpheli ÇHC bağlantı aktörleri tarafından uç nokta altyapısının sıfır gün sömürüsüyle ilişkili TTP'lerden büyük ölçüde yararlandı."

CISA Yeni Kılavuz Yayınladı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü, etkilenen Ivanti'yi çalıştıran kurumları "mümkün olan en kısa sürede ve en geç 2 Şubat 2024 Cuma günü saat 23:59'a kadar" ağlarından ayırmaya ve yamaları uyguladıktan sonra tekrar canlı hale getirmeden önce uzlaşma belirtileri aramaya çağıran ek bir kılavuz yayınladı.

Ajansların ayrıca, şirket içi hesaplar için parolaları iki kez sıfırlamak, Kerberos biletlerini iptal etmek ve ardından 1 Mart 2024'e kadar hibrit dağıtımlarda bulut hesapları için belirteçleri iptal etmek için adımlar atarak "etkilenen ürünlerle ilişkili etki alanı hesaplarının güvenliğinin ihlal edildiğini varsaymaları" istendi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.