Mandiant ha publicado hoy una investigación sobre la nueva actividad que han observado de varios actores de amenazas dirigidas a dispositivos Ivanti Connect Secure vulnerables que no tenían parches o no tenían aplicada la mitigación adecuada.
Como resultado de varias investigaciones de respuesta a incidentes, la última investigación de Mandiant esboza cinco nuevos grupos de amenazas distintos (denominados «UNC») implicados en la explotación de uno o más de los CVE Ivanti, desde el 10 de enero de 2024. Entre las principales conclusiones:
- Se ha descubierto que los actores de amenazas utilizan Windows Management Instrumentation (WMI) para reconocimiento, movimiento lateral, manipulación de entradas de registro y establecimiento de persistencia.
- Después de explotar con éxito un dispositivo Ivanti Connect Secure vulnerable, actores de amenazas utilizan herramientas de código abierto, como SLIVER y CrackMapExec, para mantener la persistencia en la red de la víctima.
- Se han descubierto cuatro familias de malware distintas que «trabajan en estrecha colaboración para crear una puerta trasera sigilosa y persistente en un dispositivo infectado».
Además de los presuntos grupos de espionaje vinculados a China, Mandiant también ha identificado actores con motivaciones financieras que explotan CVE-2023-46805 y CVE-2024-21887, lo que, según los investigadores, «probablemente permita operaciones como la minería de criptomonedas»