พบช่องโหว่ Zero-Day ใน Ivanti Connect Secure ถูกใช้เพื่อติดตั้ง Malware

พบ Hacker ใช้ช่องโหว่ Zero-Day 2 รายการใน Ivanti Connect Secure ที่ถูกเปิดเผยในเดือนธันวาคม 2023 เพื่อติดตั้ง custom malware หลายชนิดในการโจมตีเป้าหมาย

โดยช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีได้แก่ CVE-2023-46805 และ CVE-2024-21887
ที่ทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และแทรกคำสั่งที่ต้องการบนระบบที่มีช่องโหว่ได้ ซึ่งทาง Ivanti พบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเป้าหมายเพียงไม่กี่ราย

จากรายงานของ Mandiant ซึ่งทำงานร่วมกับ Ivanti ในการสืบสวนเหตุการณ์ดังกล่าวระบุว่า
กลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีนั้นถูกติดตามในชื่อ UNC5221 รวมถึง Shadowserver บริการตรวจสอบภัยคุกคามได้โพสต์ข้อมูลบน X ว่า scanner ของพวกเขาได้ตรวจพบอุปกรณ์ Invanti CS กว่า 17,100 เครื่องเข้าถึงได้จากอินเทอร์เน็ต ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา อย่างไรก็ตามขณะนี้ยังไม่มีข้อมูลเพิ่มเติมว่ามีกี่รายที่มีความเสี่ยง

การติดตั้ง Malware

Mandiant พบว่า UNC5221 ใช้ชุดเครื่องมือในระหว่างขั้นตอนภายหลังการโจมตี ซึ่งประกอบด้วย custom malware 5 รายการ สำหรับการสร้าง webshell ในการดำเนินการคำสั่ง, การติดตั้งเพย์โหลด และการขโมยข้อมูลประจำตัว

เครื่องมือที่ใช้ในการโจมตีมีดังนี้ :

  • Zipline Passive Backdoor : custom malware ที่สามารถดักจับการรับส่งข้อมูลเครือข่าย รองรับการอัปโหลด/ดาวน์โหลด การสร้าง reverse shells, proxy servers และ server tunneling
  • Thinspool Dropper : custom shell script dropper ที่สามารถที่เขียน web shell แบบ Lightwire ลงบน Ivanti CS เพื่อแฝงตัวในระบบ
  • Wirefire web shell : custom Python-based web shell ที่รองรับการเรียกใช้คำสั่งโดยไม่ต้องผ่านการตรวจสอบสิทธิ์ และการติดตั้งเพย์โหลดในเครื่องเป้าหมาย
  • Lightwire web shell : custom Perl web shell ที่ฝังอยู่ในไฟล์ที่ได้รับการรับรอง ทำให้สามารถดำเนินการคำสั่งได้ตามที่ต้องการ
  • Warpwire harverster : custom JavaScript-based tool สำหรับการรวบรวมข้อมูลประจำตัวเมื่อเข้าสู่ระบบ และส่งไปยัง command and control (C2) server
  • PySoxy tunneler : สร้าง network traffic tunneling เพื่อซ่อนตัว
  • BusyBox : multi-call binary ที่รวมยูทิลิตี้ Unix จำนวนมากที่ใช้ในงานระบบต่าง ๆ
  • Thinspool utility (sessionserver.pl) : ใช้เพื่อติดตั้งระบบไฟล์ใหม่เป็น ‘read/write’ เพื่อเปิดใช้งาน custom malware

รวมถึง Mandiant ยังพบว่า Hacker ใช้อุปกรณ์ Cyberoam VPN ที่ end-of-life ทำการเปลี่ยนให้เป็น C2 server โดยกำหนดตำแหน่งไว้ในภูมิภาคเดียวกับเป้าหมาย เพื่อหลบเลี่ยงการตรวจจับ เช่นเดียวกับ Volexity ที่พบการโจมตีที่ดำเนินการโดย Hacker ชาวจีน ซึ่งทาง Mandiant
ไม่สามารถระบุแหล่งที่มาของความเกี่ยวข้องกับกลุ่ม Hacker อื่น ๆ ได้ เช่นเดียวกับ Google ที่ยังไม่สามารถระบุความเกี่ยวข้องของ UNC5221 ได้

แต่ถึงแม้จะไม่สามารถระบุที่มาของ UNC5221 ได้ แต่วิธีการโจมตี และการแฝงตัวในระบบของเป้าหมาย ทำให้ Mandiant ตั้งข้อสงสัยว่าอาจจะเป็นกลุ่ม Hacker ที่มีความสามารถระดับสูง หรือ advanced persistent threat (APT) ที่มุ่งเป้าหมายการโจมตีไปยังเป้าหมายที่มีความสำคัญ
ระดับสูง

ปัจจุบัน Ivanti ได้เผยแพร่คำแนะนำในการแก้ไขช่องโหว่ดังกล่าวแล้ว จึงแนะนำให้ผู้ดูแลระบบให้เร่งแก้ไขโดยด่วน

ที่มา : bleepingcomputer