Ivanti 攻击与针对国防承包商的间谍组织有关

研究人员认为，负责对 Ivanti 网络设备进行协同攻击的与中国相关的威胁组织已经掌握了有关这些设备的“重要知识”。

今年到目前为止，Ivanti 已发布了以下补丁 五个高危和危急严重漏洞 影响其 Connect Secure、Policy Secure 和 Neurons for Zero Trust Access 设备。

尽管研究人员此前曾表示，他们怀疑中国民族国家的威胁行为者是 负责利用漏洞，归因于特定群体仍然难以捉摸。

在一个 2月27日帖子，Mandiant 的研究人员（Ivanti 聘请他们来帮助减轻攻击的影响）将攻击者与另一个威胁组织联系起来，据信该组织过去曾使用类似的技术来针对虚拟化技术。

Mandiant 正在追踪对 Ivanti 攻击负责的攻击者（编号为 UNC5325），并在帖子中表示，该组织正在结合使用离地技术来逃避检测，并使用新颖的恶意软件在系统升级、补丁和恢复出厂设置中持续存在。 （曼迪安特 使用 UNC 前缀 标记尚未完全定义的“未分类”威胁群体。）

“虽然迄今为止，由于恶意软件代码中缺乏解释加密密钥不匹配的逻辑，观察到的维持持久性的有限尝试尚未成功，但它进一步证明了 UNC5325 为维持对优先目标的访问而付出的努力，并强调了确保网络设备拥有最新更新和补丁的重要性，”研究人员表示。

UNC5325 威胁组织的幕后黑手是谁？

UNC5325 是一名涉嫌中国网络间谍活动的运营商，负责利用 CVE-2024-21893一个漏洞 披露并修补 作者：Ivanti，1 月 31 日。

研究人员表示，该组织的策略、技术和程序（TTP）以及恶意软件部署“展示了涉嫌与中国有联系的间谍活动者继续利用零日漏洞攻击边缘基础设施的能力”。

他们将 UNC5325 与另一个未分类的中国威胁组织 (UNC4841) 进行了比较，据信该组织对 去年发生的一系列袭击事件 针对 Barracuda Networks 的电子邮件安全网关设备。

研究人员表示：“与 UNC4841 对 Barracuda ESG 的熟悉程度类似，UNC5325 展示了对 Ivanti Connect Secure 设备的丰富了解，这从他们使用的恶意软件以及跨出厂重置的尝试中可见一斑。”

“Mandiant 预计 UNC5325 以及其他与中国有联系的间谍活动者将继续利用网络边缘设备上的零日漏洞以及特定于设备的恶意软件来获取并保持对目标环境的访问权限。”

该研究公司以中等信心评估，UNC5325 与另一个中国民族国家团伙 UNC3886 有关联，据信该团伙对 2022 年针对 VMware ESXi 主机的攻击 以及其他虚拟化技术。

研究人员表示，UNC3886主要针对美国和亚太地区的国防工业基础、技术和电信组织。

“我们正在继续收集证据并确定 UNC3886 与其他可疑的中国间谍组织之间的重叠之处，包括针对目标和使用不同的策略、技术和程序。”

与此同时，2 月 27 日，Ivanti 发布了新的 安全咨询 与对其网络设备的攻击有关，并告知客户它已经发布了外部完整性检查工具的增强版本，客户可以使用它来检查其设备的安全性。

该供应商在咨询中表示：“我们将继续密切审查风险和不断发展的威胁行为者技术。”