En una reciente campaña de espionaje digital, se descubrió que actores sospechosos de ser naciones-estado están explotando dos vulnerabilidades de Zero-Day en los dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) desde principios de diciembre de 2023. La firma de inteligencia de amenazas propiedad de Google, Mandiant, ha identificado a los responsables como UNC5221, desplegando hasta cinco familias de malware como parte de sus actividades después de la explotación.
Las vulnerabilidades en cuestión son una falla de bypass de autenticación (CVE-2023-46805) y una vulnerabilidad de inyección de código (CVE-2024-21887). Estas crean una cadena de exploits que permite a los actores de amenazas tomar el control de instancias susceptibles de los dispositivos de red VPN ICS. Los investigadores de seguridad de Volexity atribuyen la actividad a un presunto actor chino de espionaje conocido como UTA0178, resaltando la naturaleza sofisticada de los ataques.
Los atacantes cibernéticos han utilizado estas vulnerabilidades para obtener acceso inicial, desplegar webshells, establecer backdoors en los archivos legítimos, capturar credenciales y datos de configuración, y avanzar aún más en el entorno de la víctima. Ivanti informa que las intrusiones han afectado a menos de 10 clientes, lo que indica una campaña altamente dirigida.
Se espera que los parches para las dos vulnerabilidades, informalmente denominadas ConnectAround, se publiquen en la semana del 22 de enero. Mientras tanto, el análisis de Mandiant ha rebelado el uso de cinco familias de malware personalizado en estos ataques. El actor de amenazas UNC52221 emplea diversas técnicas, como inyectar código malicioso en archivos legítimos, utilizar herramientas como BusyBox y PySoxy, y emplear un script Perl para remontar el sistema de archivos como lectura/escritura.
Dos webshells, LIGHTWIRE (escrito en Perl CGI) y WIREFIRE (implementando en Python), sirven como puntos de apoyo ligeros para garantizar el acceso remoto persistente a los dispositivos comprometidos. Además, se ha utilizado en los ataques un roba credenciales basado en JavaScript llamado WARPWIRE y una puerta trasera pasiva llamada ZIPLINE, capaz de descargar/subir archivos, establecer un Shell inverso, crear un servidor proxy y configurar un servidor de túneles para enviar tráfico entre múltiples puntos finales.
Mandiant sugiere que estos no son ataques oportunistas, enfatizando que UNC52221 tenía la intención de mantener su presencia en un subconjunto de objetivos de alta prioridad, incluso después de que se lanzara un parche. Aunque UNC5221 no se ha vinculado a ningún grupo o país conocido previamente, las tácticas empleadas, incluida la utilización de vulnerabilidades de zero-day y el uso de infraestructura de comando y control comprometida, coinciden con las características de una amenaza persistente avanzada (APT).
El incidente destaca el panorama de amenazas en evolución, demostrando que la explotación de vulnerabilidades en la infraestructura perimetral sigue siendo un objetivo para actores de espionaje.
