كشف شبكات واسعة من القرصنة الصينية تستهدف Ivanti
يتم تتبع المجموعات بواسطة Mandiant تحت الألقاب غير المصنفة UNC5221، UNC5266، UNC5291، UNC5325، UNC5330، وUNC5337. كما تم ربط طاقم قرصنة صيني سابقًا بفورة الاستغلال، يُدعى UNC3886، والذي تتميز مهاراته التجارية بتسليح أخطاء يوم الصفر في Fortinet وVMware لاختراق الشبكات المستهدفة.
متابعه مكسي نيوز
القرصنة الصينية…..تم ربط العديد من الجهات الفاعلة في مجال تهديد العلاقة بين الصين والاستغلال الفوري لثلاثة عيوب أمنية تؤثر على أجهزة Ivanti (CVE-2023-46805، وCVE-2024-21887، وCVE-2024-21893).
يتم تتبع المجموعات بواسطة Mandiant تحت الألقاب غير المصنفة UNC5221، UNC5266، UNC5291، UNC5325، UNC5330، وUNC5337. كما تم ربط طاقم قرصنة صيني سابقًا بفورة الاستغلال، يُدعى UNC3886، والذي تتميز مهاراته التجارية بتسليح أخطاء يوم الصفر في Fortinet وVMware لاختراق الشبكات المستهدفة.
وقالت شركة Google Cloud التابعة إنها لاحظت أيضًا جهات فاعلة ذات دوافع مالية تستغل CVE-2023-46805 وCVE-2024-21887، على الأرجح في محاولة لإجراء عمليات تعدين العملات المشفرة.
“يتداخل UNC5266 جزئيًا مع UNC3569، وهو ممثل تجسس صيني تمت ملاحظته وهو يستغل نقاط الضعف في Aspera Faspex وMicrosoft Exchange وOracle Web Applications Desktop Integrator، من بين آخرين، للحصول على وصول أولي إلى البيئات المستهدفة،” باحثو Mandiant قال.
تم ربط جهة التهديد بنشاط ما بعد الاستغلال الذي أدى إلى نشر إطار عمل Sliver للقيادة والتحكم (C2)، وهو بديل لسرقة بيانات الاعتماد WARPWIRE، وباب خلفي جديد قائم على Go يطلق عليه اسم TERRIBLETEA والذي يأتي مع تنفيذ الأوامر وتسجيل لوحة المفاتيح ومسح المنافذ وتفاعل نظام الملفات ووظائف التقاط الشاشة.
UNC5330، الذي تمت ملاحظته وهو يجمع بين CVE-2024-21893 وCVE-2024-21887 لاختراق أجهزة Ivanti Connect Secure VPN على الأقل منذ فبراير 2024، استفاد من البرامج الضارة المخصصة مثل TONERJAM وPHANTOMNET لتسهيل إجراءات ما بعد الاختراق –
- فانتومنت – باب خلفي معياري يتصل باستخدام بروتوكول اتصال مخصص عبر TCP ويستخدم نظامًا قائمًا على البرنامج الإضافي لتنزيل الحمولات الإضافية وتنفيذها
- تونيرجام – مشغل مصمم لفك تشفير وتنفيذ PHANTOMNET
إلى جانب استخدام Windows Management Instrumentation (WMI) لإجراء الاستطلاع، والتحرك أفقيًا، ومعالجة إدخالات التسجيل، وإنشاء الثبات، من المعروف أن UNC5330 يخترق حسابات ربط LDAP التي تم تكوينها على الأجهزة المصابة من أجل الوصول إلى مسؤول المجال.
جهة تجسس بارزة أخرى مرتبطة بالصين هي UNC5337، والتي يقال إنها تسللت إلى أجهزة Ivanti في وقت مبكر من يناير 2024 باستخدام CVE-2023-46805 وCVE-2024 لتقديم مجموعة أدوات برامج ضارة مخصصة تُعرف باسم SPAWN والتي تضم أربعة مكونات متميزة تعمل في جنبًا إلى جنب ليعمل كباب خلفي خفي ومستمر –
- سباونسنيل – باب خلفي سلبي يستمع إلى المضيف المحلي وهو مجهز لإطلاق قذيفة باش تفاعلية بالإضافة إلى إطلاق SPAWNSLOTH
- سباونمول – أداة مساعدة للأنفاق قادرة على توجيه حركة المرور الضارة إلى مضيف محدد أثناء تمرير حركة المرور الحميدة غير المعدلة إلى خادم الويب Connect Secure
- تفرخ – مُثبِّت مسؤول عن ضمان استمرارية SPAWNMOLE و SPAWNSNAIL من خلال الاستفادة من وظيفة مثبت التمهيد الأساسي
- سباونسلوث – برنامج للتلاعب بالسجلات يقوم بتعطيل التسجيل وإعادة توجيه السجل إلى خادم سجل نظام خارجي عند تشغيل عملية زرع SPAWNSNAIL
وقد قام Mandiant بتقييم بثقة متوسطة أن UNC5337 وUNC5221 هما نفس مجموعة التهديد، مشيرًا إلى أن أداة SPAWN “مصممة لتمكين الوصول على المدى الطويل وتجنب الاكتشاف”.
UNC5221، الذي كان يُنسب سابقًا إلى هياكل الويب مثل BushWALK، وCHAINLINE، وFRAMESTING، وLIGHTWIRE، أطلق أيضًا العنان لقشرة الويب المستندة إلى Perl والتي يشار إليها باسم ROOTROT والتي تم تضمينها في ملف Connect Secure .ttc الشرعي الموجود في “/data/runtime” /tmp/tt/setcookie.thtml.ttc” عن طريق استغلال CVE-2023-46805 وCVE-2024-21887.
يتبع النشر الناجح لقشرة الويب استطلاع الشبكة والحركة الجانبية، مما يؤدي في بعض الحالات إلى اختراق خادم vCenter في الشبكة الضحية عن طريق باب خلفي من نوع Golang يسمى BRICKSTORM.
وأوضح الباحثون في شركة Mandiant أن “BRICKSTORM عبارة عن باب خلفي يستهدف خوادم VMware vCenter”. “إنه يدعم القدرة على إعداد نفسه كخادم ويب، وتنفيذ نظام الملفات ومعالجة الدليل، وإجراء عمليات الملفات مثل التحميل/التنزيل، وتشغيل أوامر shell، وتنفيذ ترحيل SOCKS.”
آخر المجموعات الخمس التي يوجد مقرها في الصين والمرتبطة بإساءة استخدام العيوب الأمنية في Ivanti هي UNC5291، والتي قال مانديانت إنه من المحتمل أن يكون لها ارتباطات مع مجموعة قرصنة أخرى UNC3236 (المعروفة أيضًا باسم Volt Typhoon)، ويرجع ذلك في المقام الأول إلى استهدافها للمؤسسات الأكاديمية والطاقة والدفاع والقطاع الخاص. القطاعات الصحية.
وقالت الشركة: “بدأ نشاط هذه المجموعة في ديسمبر 2023 مع التركيز على Citrix Netscaler ADC ثم تحول للتركيز على أجهزة Ivanti Connect Secure بعد الإعلان عن التفاصيل في منتصف يناير 2024”.
تؤكد النتائج مرة أخرى على التهديد الذي تواجهه الأجهزة الطرفية، حيث يستخدم ممثلو التجسس مزيجًا من عيوب يوم الصفر، والأدوات مفتوحة المصدر، والأبواب الخلفية المخصصة لتخصيص مهاراتهم التجارية اعتمادًا على أهدافهم لتجنب الكشف لفترات طويلة من الزمن.
