Volt Typhoon 和其他 4 个组织通过 Ivanti 漏洞瞄准美国能源和国防部门

此事件包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。

美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告(标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893),因为这些漏洞存在于世界各地的政府网络。

在周四发布的一份报告中,谷歌旗下的安全公司 Mandiant 表示,它正在跟踪利用这些漏洞的“多个活动集群”,这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。

研究人员表示,二月份,他们开始追踪一个被认为是 Volt Typhoon 的组织,该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠,目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。

“Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者,这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告中表示:发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。

微信图片_20240407162428

SPAWN 恶意软件家族图

该报告重点关注“五个黑客集群”,但只有一个(他们称之为 UNC5221)在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。

微信图片_20240407162525

UNC5330攻击路径图

Mandiant 表示,尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。

“该集群的活动于 2023 年 12 月开始,重点关注 Citrix Netscaler ADC,然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查,这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。”

其他组织如果成功入侵一个组织,就会使用各种恶意软件,包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。

在事件调查过程中,Mandiant 发现了四个不同的恶意软件系列,它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门,从而实现长期访问和避免检测。

黑客利用入侵来深入受害者网络,通常会继续攻击 Microsoft 和 VMware 的工具。

目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天,Ivanti 首席执行官承诺对公司运营进行一系列变革,此前数月发生了影响世界各国政府的引人注目的事件。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/khSEh7IJTdkZuvovMmTPkg

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容