Im Rahmen verschiedener Incident-Response-Untersuchungen beschreibt Mandiant in seiner neuesten Untersuchung fünf neue, eindeutige Bedrohungscluster (als UNCs bezeichnet), die seit dem 10. Januar 2024 an der Ausnutzung einer oder mehrerer Ivanti CVEs beteiligt sind.
Neben mutmaßlichen Spionagegruppen mit China-Bezug hat Mandiant auch finanziell motivierte Akteure identifiziert, die CVE-2023-46805 und CVE-2024-21887 ausnutzen, was den Forschern zufolge „wahrscheinlich Operationen wie Kryptomining ermöglicht“. Es wurde festgestellt, dass Bedrohungsakteure die Windows Management Instrumentation (WMI) für die Erkundung, laterale Bewegungen, die Manipulation von Registry Entries und die Herstellung von Persistenz nutzen.
Open-Source-Tools wie SLIVER und CrackMapExec wurden von ausgewählten Bedrohungsakteuren eingesetzt, um die Persistenz im Netzwerk des Opfers aufrechtzuerhalten, nachdem sie eine anfällige Ivanti Connect Secure-Appliance erfolgreich ausgenutzt hatten.
UNC5291, ein neuer Bedrohungscluster, den Mandiant mit mittlerer Sicherheit als Volt Typhoon einstuft, zielte zunächst im Dezember 2023 auf Citrix Netscaler ADC ab und begann dann Mitte Januar 2024 mit der Untersuchung der Ivanti Connect Secure-Appliance. Mandiant stellt fest, dass Volt Typhoon oder andere UNCs, bei denen der Verdacht besteht, dass es sich um Volt Typhoon handelt, Ivanti Connect Secure nicht erfolgreich kompromittiert haben.
Es wurden zudem vier verschiedene Malware-Familien entdeckt, die „eng zusammenarbeiten, um eine heimliche und dauerhafte Hintertür zu einer infizierten Appliance zu schaffen“.
- SPAWNANT – ein Installationsprogramm, das die Persistenz herstellt
- SPAWNMOLE – ein Tunnel, der den vom Angreifer ausgehenden bösartigen Datenverkehr herausfiltert
- SPAWNSNAIL – SSH-Backdoor, die an localhost gebunden ist und SPAWNSLOTH injiziert
- SPAWNSLOTH – deaktiviert die Erzeugung und Weiterleitung von Ereignisprotokollen
www.mandiant.de