Согласно последнему отчету о кибербезопасности, группа кибершпионажа UNC5221, связанная с Китаем, с марта 2025 года активно использует критическую уязвимость в устройствах Ivanti Connect Secure (ICS) VPN. Изначально недооцененная компанией Ivanti, уязвимость CVE-2025-22457 открывает двери для несанкционированного удаленного выполнения кода.
Уязвимость и её эксплоит
Уязвимость относится к переполнению буфера на основе стека и затрагивает непатченные версии ICS (22.7R2.5 и более ранние), а также устаревшие версии Pulse Connect Secure. Первоначально Ivanti считает, что уязвимость невозможно использовать, однако, 11 февраля 2025 года компания выпустила патч, который, как предполагается, были переработан UNC5221 для создания сложного пользовательского эксплойта.
Тактика UNC5221
После компрометации целевого устройства UNC5221 использует встроенные в память программы для развертывания вредоносных программ, включая:
- Программу-дроппер TRAILBLAZE, которая незаметно внедряет бэкдор BRUSHFIRE в процесс веб-службы ICS.
- Инструмент SPAWNSLOTH для управления службами ведения журнала.
Методы сбора данных
Основной задачей UNC5221 является сбор учетных данных с помощью нескольких методов, включая:
- Вредоносную программу DRYHOOK, которая перехватывает имена пользователей и пароли VPN.
- Внедрение анализаторов на основе JavaScript.
- Извлечение кэшированных баз данных учетных данных из устройства.
Эти действия позволяют осуществлять горизонтальное перемещение по сети и запрашивать Active Directory организаций с помощью украденных учетных данных.
Этап рекогносцировки
На этапе рекогносцировки группа использует взломанное устройство VPN для сканирования внутренней сети, воспользовавшись инструментами, такими как:
- nmap для сканирования портов и служб.
- Подключение к службам каталогов для получения подробной информации о пользователях и системах.
Методы утечки данных
UNC5221 активно использует малозаметные методы для утечки данных, такие как:
- Маскировка украденных файлов под законный веб-контент.
- Использование зашифрованных туннелей.
- Передача трафика через скомпрометированную инфраструктуру.
Рекомендации по защите
Специалисты по кибербезопасности настоятельно рекомендуют организациям:
- Обновить все устройства ICS до версии 22.7 R2.6 или более поздней.
- Вывести из эксплуатации неподдерживаемые устройства Pulse Connect Secure.
- Внедрить надежный мониторинг необычного поведения.
- Усилить механизмы аутентификации и ограничить права доступа к учетным записям служб.
Заключение
В целом, UNC5221 демонстрирует передовую тактику, характерную для субъектов национального государства, что делает эту группу серьезной угрозой как для правительственных, так и для частных организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибершпионаж UNC5221: Атаки через уязвимости ICS VPN".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.