Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Mandiant: китайские хакеры развёртывают новые ТТП для использования уязвимостей Ivanti

2
1 мин
В своём новом отчёте специалисты по кибербезопасности профильной компании Mandiant рассказали о китайских хакерах, которые начали разрабатывать новые методы для перемещения в горизонтальном направлении после эксплуатации уязвимости программного обеспечения Ivanti. По словам аналитиков, в этой сфере сейчас «работают» как минимум пять шпионских хакерских группировок, связанных с Китаем. В соответствующем направлении киберпреступники работают после активной эксплуатации ранее уязвимостей CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893, которые были обнаружены в шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Одной из этих групп, отслеживаемой как UNC5291, со средней долей вероятности, по словам аналитиков, является Volt Typhoon, нацеленная на энергетический и оборонный секторы США. Кроме того, Mandiant заявила, что выявила финансово мотивированные хакерские группы из Китая, использующие CVE-2023-46805 и CVE-2024-21887. Эти уязвимости, вероятно, позволяют проводить такие операции, как

В своём новом отчёте специалисты по кибербезопасности профильной компании Mandiant рассказали о китайских хакерах, которые начали разрабатывать новые методы для перемещения в горизонтальном направлении после эксплуатации уязвимости программного обеспечения Ivanti. По словам аналитиков, в этой сфере сейчас «работают» как минимум пять шпионских хакерских группировок, связанных с Китаем.

В соответствующем направлении киберпреступники работают после активной эксплуатации ранее уязвимостей CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893, которые были обнаружены в шлюзах Ivanti Connect Secure и Ivanti Policy Secure.

Одной из этих групп, отслеживаемой как UNC5291, со средней долей вероятности, по словам аналитиков, является Volt Typhoon, нацеленная на энергетический и оборонный секторы США.

Кроме того, Mandiant заявила, что выявила финансово мотивированные хакерские группы из Китая, использующие CVE-2023-46805 и CVE-2024-21887. Эти уязвимости, вероятно, позволяют проводить такие операции, как майнинг криптовалют. В общей сложности, в ходе анализа было обнаружено восемь отдельных кластеров, вовлечённых в эксплуатацию одной или нескольких из этих уязвимостей (CVE) Ivanti.

По словам экспертов, по состоянию на 3 апреля, исправления доступны для каждой поддерживаемой версии Ivanti Connect Secure, подверженной уязвимостям.

Организациям также рекомендуется использовать новый расширенный инструмент внешней проверки целостности (ICT) от Ivanti, также выпущенный 3 апреля, для обнаружения потенциальных попыток сохранения вредоносного ПО при сбросе настроек до заводских настроек и обновлениях системы, а также других тактиках, методах и процедурах (ТТП), наблюдаемых в реальной жизни.

С полной версией отчёта компании Mandiant можно ознакомиться по следующей ссылке.

Оригинал публикации на сайте CISOCLUB: "Mandiant: китайские хакеры развёртывают новые ТТП для использования уязвимостей Ivanti".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются