新的细节浮出水面:Ivanti Connect Secure VPN 零日漏洞
近日,关于影响 Ivanti Connect Secure VPN(前称 Pulse Secure)和 Ivanti Policy Security 设备的两个零日漏洞的新细节被曝光。这些漏洞由网络安全公司 Mandiant 发布,报告显示,从 2023 年 12 月起,这些漏洞已在实际环境中被积极利用。
攻击者 UNC5221 的背景
据 Mandiant 的信息,攻击者 UNC5221 是一个被怀疑为间谍组织的团体,目前正受到 Mandiant 的监视。Mandiant 咨询首席技术官 Charles Carmakal 强调,这些 CVE(公共漏洞和暴露)在结合使用时,会导致未经身份验证的远程代码执行。
恶意软件的使用
UNC5221 据报道使用了多种定制的恶意软件家族,在成功利用零日漏洞后进行后期的间谍活动。这包括在 Connect Secure(CS)设备上建立持久访问的立足点。
持久访问的迹象
根据 Mandiant 的研究人员的说法,这个团体为维持对 CS 设备的持久访问所做的准备,表明这些攻击并不仅仅是机会主义行为。UNC5221 似乎计划在最终发布补丁后,继续在一部分高优先级目标上保持其存在。
APT 攻击的可能性
Mandiant 的研究人员补充说,类似于 UNC5221,他们之前也注意到多个疑似 APT(高级持续性威胁)行为者使用特定于设备的恶意软件来促进后期利用和规避检测。这些案例,加上与目标相关的发现,使 Mandiant 相信这可能是一个以间谍活动为动机的 APT 攻击。
被利用的设备
在 Mandiant 继续详细调查这些攻击的同时,早期的发现也指出,UNC5221 主要利用被攻陷且不再支持的 Cyberoam VPN 设备作为其指挥和控制中心。被攻陷的设备位于受害者的国内,这可能进一步帮助攻击者规避检测。
补丁的开发与建议
目前,补丁正在开发中,Ivanti 客户被建议及时关注发布时间表。目前,Mandiant 尚未将这一活动与已知的任何团体联系起来,也没有足够的数据来确定 UNC5221 的来源。
UNC5221 的恶意软件家族
UNC5221 使用的定制恶意软件家族包括: - ZIPLINE:隐蔽的被动后门 - THINSPOOL:用于持久性和检测规避的工具 - LIGHTWIRE:用于任意命令执行 - WIREFIRE:基于 Python 的 Web Shell - WARPWIRE:嵌入在合法 Connect Secure 文件中的凭证收集器
UNC5221 甚至在 Ivanti Connect Secure VPN 中对合法文件进行了 Trojan 攻击,植入恶意代码,显示出其复杂的战术。
Mandiant 的角色
Mandiant 是一家以其威胁情报、事件响应和网络安全咨询专业知识而闻名的网络安全公司。被 FireEye 收购后,Mandiant 在调查和应对高级网络威胁方面发挥了重要作用,帮助组织增强安全防护并降低网络风险。
Mandiant 还参与主动威胁狩猎,积极寻找组织网络中高级威胁的迹象,以识别和消除潜在风险。此外,Mandiant 提供培训项目,教育组织及其员工关于网络安全最佳实践,帮助创建安全意识文化。
通过以上信息,用户可以更好地理解 Ivanti Connect Secure VPN 的安全风险,并采取必要的措施以保护自己的网络安全。保持关注,及时更新补丁是防止潜在攻击的关键。
