Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
これらのグループのうちの1つは、米国のエネルギー/防衛セクターを標的としている Volt Typhoon (別名:UNC5291) であると、Mandiant は中程度の信頼度で評価している。さらに Mandiant は、CVE-2023-46805/CVE-2024-21887 を悪用し、クリプトマイニングのようなオペレーションを実行すると思われる、金銭的動機に基づく脅威アクターを特定したとしている。
Ivanti 製品において、単数/複数の脆弱性の悪用に関与する脅威クラスターは、合計で8つ観測されている。2024年初頭に公開された Ivanti の脆弱性を、脅威アクターたちが悪用しているという、2月29日の Five Eyes の緊急警告を受けて、この Mandiant のレポートが発行された。
現時点において、一連の脆弱性の影響を受ける Ivanti Connect Secure の全てのバージョンに対しては、すでにパッチが利用可能になっている。
また、4月3日に Ivanti がリリースした、新たに強化された ICT (Integrity Checker Tool) の使用も推奨されている。同ツールで検出できるのは、工場出荷時のリセットやシステム・アップグレードをまたいだスコープで試行される、マルウェアの持続性の維持の状態や、野放し状態で観察される TTPs (戦術/技術/手順) などである。
エクスプロイト後の横移動に関する新たな TTP
Mandiant は、Ivanti Connect Secure アプライアンスの悪用に成功した中国系グループが、新たなマルウェアを用いて検知を回避し、横展開していることを発見した。
SPAWN マルウェア・ファミリー
脅威アクター UNC5221 による侵害を、Mandiant が分析したところ、カスタム・マルウェア・ツールセット SPAWN の、4つの異なるコンポーネントが、感染したアプライアンス上でステルス性と永続性を維持する、バックドアの作成のために併用されていた。
さらにSPAWN は、長期的なアクセスを可能にし、検知を回避するように設計されているおり、以下のような構成になっている:
- SPAWNANT:SPAWNMOLE トンネラーと SPAWNSNAIL バックドアの永続性を確立するために、coreboot インストーラー機能を活用するインストーラー。
- SPAWNMOLE:Web プロセスに注入するトンネラー。Web プロセスの accept 関数をハイジャックしてトラフィックを監視し、攻撃者から発信された悪意のトラフィックをフィルタリングする。
- SPAWNSNAIL:localhost をリッスンするバックドア。
- SPAWNSLOTH:dslogserver プロセスに注入された、ログ改ざんユーティリティ。SPAWNSNAIL バックドアが動作している場合に、ロギングを無効にし、外部 syslog サーバーへのログ転送を無効にできる。
ROOTROT ウェブシェル
UNC5221 により侵害された、Ivanti Connect Secure アプライアンスに関する同じ調査おいて Mandiant は、ROOTROT として追跡される、新しい Web シェルが使用されていることも発見した。
この Web シェルは Perl で書かれており、正規の Connect Secure .ttc ファイルに埋め込まれている。攻撃者は、Base64 エンコードされたコマンドを解析し、eval で実行できる。
ROOTROT は、一連の CVE が公開される前の 2024年1月10日の時点で、システム上で作成されたと考えられ、標的型攻撃であることが示唆される。
Connect Secure アプライアンス上に ROOTROT が展開されたことで、UNC5221 はネットワーク偵察を開始し、VMware vCenter サーバへと横移動した。
BRICKSTORM バックドア
UNC5221 は SSH を使用して vCenter アプライアンスにアクセスし、BRICKSTORM バックドアをアプライアンス上にダウンロードした。
BRICKSTORM は、VMware vCenter サーバを標的とする Go バックドアであり、自身を Web サーバとして設定し、以下の操作を実行する。
- ファイル・システムとディレクトリの操作
- アップロード/ダウンロードなどのファイル操作
- シェルコマンド
- Web ソケットを介して、BRICKSTORM 通信をハードコードされた C2 に中継する SOCKS を実行
SLIVER C2
脅威アクター UNC5266 による、別の侵害のケースでは、SLIVER C2 (Command and Control) フレームワークのコピーが使用されていた。SLIVER のコピーは、正規のシステム・ファイルを装い、侵害されたアプライアンス上の、それぞれ異なる3箇所に配置されていた。
UNC5266 は、systemd サービス・ファイルを変更し、SLIVER のコピーの1つを永続デーモンとして登録していた。
TERRIBLE TEA
UNC5266 による別のケースで悪用されたのは、TERRIBLETEA という Go バックドアである。この Go バックドアは、暗号化通信に XXTEA を用いて HTTP でコネクトするものであり、コマンドの実行/キーストロークのロギング/ファイル・システムとの連携などの、複数の機能を備えている。
また、TERRIBLETEA は、設定された環境に応じて、異なる実行経路を取ることができる。
Active Directory の横移動による侵害
また UNC5330 は、CVE-2024-21893/CVE-2024-21887 を連鎖させて、イニシャル・アクセスを獲得するという手法を使用していた。
この手法では、まず、侵害した Ivanti Connect Secure アプライアンスに設定された、LDAP バインド・アカウントを利用して、脆弱な Windows 証明書テンプレートを悪用し、コンピュータ・オブジェクトを作成してドメイン管理者の証明書を要求する。続いて、ドメイン管理者になりすまして DCSync を実行し、横方向に移動するための追加的な認証情報を引き出す。
Mandiant は、今回の調査結果について、エッジ・アプライアンスが直面する継続的な脅威を浮き彫りにするものであり、悪用に成功した後に広範な TTP が採用されると警告している。
研究者たちは、「オープンソース・ツールの使用が、一般的になりつつある。しかし私たち、脅威アクターが標的としているアプライアンスや、環境に合わせたカスタム・マルウェアへの監視を継続していく」と述べている。
Mandiant の調査/分析の能力が、とても高いことが分かる記事ですね。ただ、このようにマルウェアの TTP などを並べられてしまうと、呆れる他に術はないという気持ちになってしまいます。よろしければ、Ivanti Connect Secure で検索も、ご利用ください。今日の記事の背景が、一目瞭然になると思います。
IoT OT Security News 
You must be logged in to post a comment.