Mandiant 发现“UNC5221”：隐形黑客使用恶意软件库绕过 VPN 防御

　　至少五种不同类型的恶意软件被疑似国家支持的黑客使用，通过 Ivanti Connect Secure (ICS) VPN 设备中的零日漏洞访问公司网络。这些攻击自 2023 年 12 月初以来一直在发生。

　　根据 Mandiant 的说法，该组织UNC5221使用这些恶意软件程序绕过身份验证系统并秘密访问设备。为了利用易受攻击的设备，黑客利用了一个漏洞利用链，其中包括在 Ivanti Connect Secure 和 Policy Secure 产品中发现的身份验证绕过漏洞 (CVE-2023-46805) 和代码注入漏洞 (CVE-2024-21887)。

　　Volexity 将此活动归因于中国间谍组织 UTA0178，此前曾解释说，这些漏洞允许初始访问、Web Shell 安装、在合法文件中嵌入后门、收集凭据和配置文件，以及更深入地渗透到受害者的内部网络。

　　Ivanti 表示，只有不到 10 个客户受到攻击的影响，这表明该活动具有针对性。这两个漏洞的补丁(由安全研究员Kevin Beaumont非正式地命名为ConnectAround)预计将于下周发布。

　　Mandiant的分析显示，攻击者使用了五种不同的恶意软件程序。他们还将恶意代码嵌入到合法的 ICS 系统文件中，并使用了 BusyBox(一套 UNIX 命令行实用程序)和 PySoxy(SOCKS5 代理服务器)等工具。

　　专家指出，由于某些设备文件系统的特殊性，黑客利用Perl脚本来修改访问权限并部署恶意软件。维护对受感染系统的访问的主要工具是 Web 外壳 LIGHTWIRE 和 WIREFIRE。此外，基于 JavaScript 的恶意软件 WARPWIRE 用于凭据收集，以及 ZIPLINE 后门，能够上传/下载文件、建立反向 Shell、创建代理服务器以及设置网络隧道以在多个端点之间分配流量。

　　虽然UNC5221尚未与任何已知组织相关联，但该组织的方法表明存在高级持续威胁。使用零日漏洞和隐蔽基础设施是国家支持的黑客的特征。UNC5221的活动表明，网络外围攻击仍然是间谍组织的一个有吸引力的目标。