Neue Malware-Angriffe nutzen Ivanti VPN-Schwachstellen aus
Das zu Google gehörende Unternehmen Mandiant hat nach eigenen Angaben neue Malware identifiziert. Diese wird von einer Spionagegruppe namens UNC5221 aus China und anderen Bedrohungsgruppen während ihrer Post-Exploit-Aktivitäten für Geräte wie Ivanti Connect Secure VPN und Policy Secure verwendet. Dazu gehören benutzerdefinierte Web-Shells wie BUSHWALK, CHAINLINE, FRAMESTING und eine Variante von LIGHTWIRE.
CHAINLINE ist eine schädliche Web-Shell-Backdoor, die in ein Python-Paket von Ivanti Connect Secure eingebettet ist. Mit dieser Backdoor ist es möglich, beliebige Befehle auszuführen. Mandiant hat auch mehrere neue Versionen von WARPWIRE entdeckt. WARPWIRE ist eine auf JavaScript basierende Software, die für den Klau von Anmeldeinformationen entwickelt wurde.
Um Systeme zu infizieren, nutzen die Angreifer die Schwachstellen CVE-2023-46805 und CVE-2024-21887 aus. Diese Schwachstellen erlauben es einem nicht authentifizierten Angreifer, auf der Ivanti-Appliance mit erweiterten Rechten beliebige Befehle auszuführen.
Es ist wichtig zu wissen, dass diese Schwachstellen bereits seit Anfang Dezember 2023 ausgenutzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass ihm „mehrere kompromittierte Systeme“ in Deutschland bekannt sind.
In bestimmten gezielten Angriffen wird die schädliche Software BUSHWALK verwendet. Diese ist in der Programmiersprache Perl geschrieben und kann die Sicherheitsmaßnahmen von Ivanti umgehen. BUSHWALK wird in eine legitime Datei namens „querymanifest.cgi“ von Connect Secure eingefügt und ermöglicht so das Lesen oder Schreiben von Dateien auf einem Server.
Auf der anderen Seite handelt es sich bei FRAMESTING um eine Python-Web-Shell, die in ein Python-Paket von Ivanti Connect Secure integriert ist. Die Datei findet sich unter „/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py“. Mit FRAMESTING ist es möglich, beliebige Befehle auszuführen.
Die Untersuchung der passiven ZIPLINE Backdoor durch Mandiant hat gezeigt, dass sie fortschrittliche Funktionen verwendet, um sicherzustellen, dass ihr spezielles Protokoll authentifiziert wird. Dieses Protokoll wird für die Einrichtung von Kommando- und Kontrollfunktionen (C2) verwendet.
Außerdem fallen die Angriffe durch den Einsatz von frei verfügbaren Tools wie Impacket, CrackMapExec, Iodine und Enum4linux auf. Diese Tools werden verwendet, um nach erfolgreichen Angriffen auf Ivanti CS-Geräte Aktivitäten nach der Übernahme durchzuführen. Dazu gehören die Suche im Netzwerk, laterale Bewegungen innerhalb des Netzwerks und das Abgreifen von Daten aus den betroffenen Umgebungen.
Ivanti hat noch zwei weitere Sicherheitslücken bekanntgegeben, die als CVE-2024-21888 und CVE-2024-21893 geführt werden. Die zweite Lücke wird aktiv von Angreifern ausgenutzt – betrifft aber laut Ivanti nur eine „begrenzte Anzahl von Kunden“. Das Unternehmen hat bereits die ersten Schritte unternommen, um alle vier Sicherheitslücken zu beheben.
Die Gruppe UNC5221, die für diese Angriffe verantwortlich ist, hat es auf verschiedene Branchen abgesehen, die für China wichtig sind. Dabei wurden ähnliche Infrastruktur und Werkzeuge entdeckt, die bereits bei früheren Angriffen von chinesischen Spionagegruppen verwendet wurden.
Mandiant, das Unternehmen, das die Sicherheitsanalyse durchgeführt hat, stellt fest, dass die Angriffe auch Linux-basierte Tools einschließen. Diese verwenden Code aus Github-Repositories, die auf Chinesisch verfasst sind. UNC5221 nutzte hauptsächlich Taktiken, Techniken und Prozeduren (TTPs), die auf der Ausnutzung von bisher unbekannten Schwachstellen in Edge-Infrastrukturen basieren und höchstwahrscheinlich von chinesischen PRC-Nexus-Akteuren durchgeführt wurden.