Киберзлодеи из Поднебесной пытаются закрепиться в сетях, но пока не очень успешно.
Две хакерские группировки из Китая, известные как UNC5325 и UNC3886 , взломали системы безопасности ПО от компании Ivanti, которое используется для защиты виртуальных частных сетей ( VPN ). Эксперты Для просмотра ссылки Войдиили Зарегистрируйся обнаружили, что UNC5325 эксплуатировала уязвимость CVE-2024-21893 в продуктах Ivanti для получения доступа к системам и установки вредоносного софта.
CVE-2024-21893 представляет собой "подделку запроса со стороны сервера" (SSRF). Она присутствует в компоненте SAML продуктов компании Ivanti - Connect Secure, Policy Secure и Neurons for ZTA. В ходе атак злоумышленники нацеливались на ограниченное число устройств.
Для проникновения в сети компаний хакеры комбинировали эту уязвимость с другой (CVE-2024-21887), чтобы скрытно обойти механизмы защиты. Затем были задействованы легитимные компоненты для загрузки вредоносных программ, позволяющих удаленно управлять зараженными компьютерами, красть данные и туннелировать трафик.
Группировка UNC3886 ранее использовала похожие методы, эксплуатируя 0-day уязвимости в ПО Fortinet и VMware для атак на организации в США и Азиатско-Тихоокеанском регионе.
Как показал анализ Mandiant, UNC5325 демонстрирует глубокие знания продуктов Ivanti и умело маскирует свою деятельность. Злоумышленники активно применяют тактику "жизнь за счет земли" (LotL или LOTL), внедряя вредоносные модули в легитимные инструменты.
Хакеры пытались закрепиться во взломанных сетях, но пока эти попытки провалились из-за ошибок в коде зловредного ПО.
Использовался вредоносный плагин PITFUEL для загрузки программы LITTLELAMB.WOOLTEA, которая может сохранять присутствие в системе после обновлений, патчей и сброса к заводским настройкам.
Однако в LITTLELAMB.WOOLTEA не была предусмотрена логика для обработки несовпадения ключей шифрования. Другой плагин PITDOG применяется для инжектирования программы PITHOOK, которая также предназначена для постоянного присутствия.
Компаниям рекомендуют регулярно обновлять сетевое ПО и использовать надежные средства безопасности, чтобы вовремя выявлять подозрительную активность, в том числе связанную с группировками UNC5325 и UNC3886.
Две хакерские группировки из Китая, известные как UNC5325 и UNC3886 , взломали системы безопасности ПО от компании Ivanti, которое используется для защиты виртуальных частных сетей ( VPN ). Эксперты Для просмотра ссылки Войди
CVE-2024-21893 представляет собой "подделку запроса со стороны сервера" (SSRF). Она присутствует в компоненте SAML продуктов компании Ivanti - Connect Secure, Policy Secure и Neurons for ZTA. В ходе атак злоумышленники нацеливались на ограниченное число устройств.
Для проникновения в сети компаний хакеры комбинировали эту уязвимость с другой (CVE-2024-21887), чтобы скрытно обойти механизмы защиты. Затем были задействованы легитимные компоненты для загрузки вредоносных программ, позволяющих удаленно управлять зараженными компьютерами, красть данные и туннелировать трафик.
Группировка UNC3886 ранее использовала похожие методы, эксплуатируя 0-day уязвимости в ПО Fortinet и VMware для атак на организации в США и Азиатско-Тихоокеанском регионе.
Как показал анализ Mandiant, UNC5325 демонстрирует глубокие знания продуктов Ivanti и умело маскирует свою деятельность. Злоумышленники активно применяют тактику "жизнь за счет земли" (LotL или LOTL), внедряя вредоносные модули в легитимные инструменты.
Хакеры пытались закрепиться во взломанных сетях, но пока эти попытки провалились из-за ошибок в коде зловредного ПО.
Использовался вредоносный плагин PITFUEL для загрузки программы LITTLELAMB.WOOLTEA, которая может сохранять присутствие в системе после обновлений, патчей и сброса к заводским настройкам.
Однако в LITTLELAMB.WOOLTEA не была предусмотрена логика для обработки несовпадения ключей шифрования. Другой плагин PITDOG применяется для инжектирования программы PITHOOK, которая также предназначена для постоянного присутствия.
Компаниям рекомендуют регулярно обновлять сетевое ПО и использовать надежные средства безопасности, чтобы вовремя выявлять подозрительную активность, в том числе связанную с группировками UNC5325 и UNC3886.
- Источник новости
- www.securitylab.ru