СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#ИБ#Инфра

Атаки на Ivanti: Уязвимости CVE-2023 и CVE-2024 под угрозой

Атаки на Ivanti: Уязвимости CVE-2023 и CVE-2024 под угрозой

Источник: cloud.google.com

Компания Mandiant сообщила о значительной активности, связанной с использованием уязвимостей CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893. Основное внимание сосредоточено на защищенных устройствах Ivanti Connect. Наблюдаемые вредоносные действия касаются как шпионских групп, предполагаемым образом связанных с Китаем, так и финансово мотивированных субъектов, занимающихся, например, добычей криптовалют.

Кластеры активности вредоносных групп

С начала 2024 года Mandiant зафиксировала несколько четко выраженных кластеров активности:

  • UNC5291: По оценкам, относится к группе тайфунов Volt, нацелен на секторы энергетики и обороны США.
  • UNC5221: Использует CVE-2023-46805 и CVE-2024-21887 с декабря 2023 года, предшествуя публичному раскрытию уязвимостей.
  • UNC5330: Успешно взломал защищенные устройства Ivanti Connect, связывая уязвимости CVE-2024-21893 и CVE-2024-21887.

Используемые вредоносные программы

Группа UNC5221 внедрила ряд сложных вредоносных программ, включая:

  • SLIVER от Bishop Fox
  • Вариант WARPWIRE
  • Новое семейство вредоносных программ под названием TERRIBLETEA

Использование имплантата SLIVER указывает на наличие у злоумышленников значительных ресурсов, позволяющих использовать как пользовательские инструменты, так и инструменты с открытым исходным кодом.

Тактики взлома и распространения бэкдоров

Другой кластер, UNC5330, использовал уязвимости для развертывания вредоносных бэкдоров:

  • PHANTOMNET
  • TONERJAM
  • BRICKSTORM: Бэкдор на базе Go, маскирующийся под законный процесс на серверах VMware vCenter.

В ходе целенаправленной атаки UNC5221 реализовал ROOTROT — веб-оболочку, встроенную в защищенный .ttc-файл Ivanti Connect. Это позволяло злоумышленникам использовать уязвимости до их публичного раскрытия.

Уроки для компаний

Анализ активности данных групп подчеркивает необходимость повышенной бдительности организаций в отношении развивающихся угроз. Особенно это касается периферийных устройств, таких как Ivanti, которые остаются главной мишенью для опытных хакеров. Как отмечает Mandiant: «Современные уязвимости требуют от нас новых подходов к киберзащите и постоянного мониторинга.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: