美国政府公布攻击Ivanti云服务设备的技术细节

美国政府的网络安全和执法机构周三发布了专业黑客入侵Ivanti云服务设备（CSA）所用的两个复杂漏洞利用链的技术细节。这些机构发布了清理行动中的入侵指标（IOCs）和其他取证数据，并警告称，四个记录在案的安全漏洞CVE-2024-8963 、CVE-2024-9379 、CVE-2024-8190 和CVE-2024-9380为网络间谍提供了成熟的攻击目标。

CISA与FBI联合发布的公告警告称，攻击者使用了两个主要的攻击链和一些横向移动技巧，入侵计算机系统，执行远程代码，窃取凭证，并在受害者网络中植入Webshell。根据CISA引用的数据，一个攻击链结合了 CVE-2024-8963 、CVE-2024-8190 和CVE-2024-9380，而另一个攻击链则将 CVE-2024-8963 与CVE-2024-9379 配对。在至少一起已确认的入侵事件中，这些机构表示，黑客转向了目标环境中的其他服务器。

这四个漏洞均影响519之前的Ivanti CSA 4.6x版本，而CVE-2024-9379和CVE-2024-9380则影响CSA 5.0.1及以下版本。值得注意的是，Ivanti CSA 4.6版本已被视为生命周期结束，不再接收补丁，因此特别容易受到攻击。Ivanti指出，这些漏洞尚未在最新的CSA 5.0版本中被利用。

这些机构详细描述了攻击过程以及黑客团队的工作方式，并指出至少有三家组织在攻击的早期阶段发现了威胁行为者。其中一起案例中，系统管理员检测到异常的用户账户创建行为，并迅速采取措施阻止了攻击。另一家组织的未具名端点保护平台（EPP）在黑客执行 base64 编码脚本以创建 Webshell 时发出了警报。在第三起案例中，CISA/FBI 公告称，前两起事件的 IOCs 帮助快速发现了恶意活动。这些机构还提到，威胁行为者下载和部署“Obelisk”和“GoGo Scanner”后留下的日志被用于发现网络上的异常活动。

这三家组织均已用干净且升级后的虚拟机替换了受影响的设备。目前，CISA 正在推动网络防御者通过分析日志和入侵迹象来开始追踪攻击，并将存储在受影响设备上的凭证视为已泄露。

事件响应和取证供应商Mandiant已公开将这些攻击追踪到一个已知的APT子组，目前标记为 UNC5221 ，该组织早在2023 年12月就曾利用Ivanti Connect Secure VPN设备进行攻击。该组织被发现使用了多个自定义恶意软件家族，包括一个被动后门（称为 Zipline）、一个名为 Thinspool 的投放器、一个标记为 Lightwire 的Webshell 以及一个名为 Warpwire 的凭证窃取恶意软件。攻击者还被观察到利用 PySoxy 隧道工具和 BusyBox 来支持攻击后的活动。