Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測：中国由来の APT UNC5221 の活動と重複

Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities

2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN／Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK／CHAINLINE／FRAMESTING／LIGHTWIRE などの、カスタム Web シェルの亜種である。

Mandiant は、「CHAINLINE は、Ivanti Connect Secure の Python パッケージに組み込まれた Python Web シェル・バックドアであり、任意のコマンド実行を可能にする、UNC5221 アトリビューションである。さらに、JavaScript ベースのクレデンシャル・ステイラーである、WARPWIRE の新しいバージョン群も検出した」と述べている。

一連の感染チェーンは、脆弱性 CVE-2023-46805／CVE-2024-21887 の悪用が成功した場合に発生しており、Ivantiアプライアンス上での昇格した権限で、未認証の脅威アクターに任意のコマンド実行を許すとされる。

これらの脆弱性は、2023年12月初旬以降においてゼロデイとして悪用されている。ドイツの Federal Office for Information Security (BSI) は、同国内で侵害された複数のシステムを把握したと述べている。

Perl で書かれた BUSHWALK は、Ivanti が発行した緩和策を回避する高度な標的型攻撃で展開され、”querymanifest.cgi” という名前の正規の Connect Secure ファイルに埋め込まれ、サーバ上のファイルに関する Read/Write 機能を提供するものだ。

また、FRAMESTING は、Ivanti Connect Secure Python パッケージ (/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py) に埋め込まれた Python Web シェルであり、任意のコマンド実行を可能にする。

Mandiant による ZIPLINE パッシブ・バックドアの分析では、Command and Control (C2) の確立で使用されるカスタム・プロトコルの認証を確保する、多種多様な機能の使用も明らかになっている。

さらに、この攻撃の特徴は、オープンソースのユーティリティ Impacket／CrackMapExec／iodine／Enum4linux などを使用し、Ivanti CS アプライアンス上でのポスト・エクスプロイト活動をサポートすることで、被害者の環境内でのネットワーク偵察／横移動／データ流出などを可能にする点にある。

最近の Ivanti は、さらに２つの脆弱性である CVE-2024-21888／CVE-2024-21893 を公表している。後者の CVE-2024-21893 に関しては、限られた数の顧客を標的とする活発な悪用が検出されているという。そして同社は、４件の脆弱性に対処するための、修正プログラムの第一弾を公開している。

UNC5221 についてだが、中国の戦略と関連する広範な業界を標的にすると言われており、そのインフラとツールは、中国を拠点とするスパイ・アクターの過去の侵入と重複しているという。

Mandiant は、「インシデント・レスポンス調査で特定された Linux ベースのツール群は、複数の中国語 Github リポジトリに展開されるコードを使用している。UNC5221は、主に中国に由来すると疑われる脅威アクターが使用する、エッジ・インフラのゼロデイ悪用に関連する TTP を活用している」と述べている。

同じく 2月1日付の「CISA が異例の通達：Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ」でも、Ivanti の一連の脆弱性に関する逼迫した状況が報じられています。文中にあるように、オープンソースのユーティリティを介した LOLbin 攻撃が生じていると、その検出も難しくなることが考えられます。Mandiant によると、中国由来のハッカーたちは、2023年12月3日の時点において、これらのバグを攻撃していたとのことでです。すでに、米国の連邦政府機関でも、データ侵害が発生していると想定すべき状況です。