资安业者Ivanti自去年9月至10月上旬,针对Cloud Services Application(CSA)修补上述漏洞遭到利用的情况,已有资安业者揭露调查结果。例如,Fortinet指出,针对这些骇客的身分,ANSSI指出就是资安业者Mandiant揭露的中国骇客UNC5174,Houken很有可能是旗下专门取得初始入侵管道的团队所为,从2023年就开始从事活动,得逞后将相关资讯转卖给其他骇客。而对于这些初始入侵管道买家的身分,ANSSI表示大部分是国家级骇客,但他们也看到UNC5174卖给从事挖矿攻击的骇客组织。
UNC5174锁定Ivanti CSA设备的攻击行动,最早发生在去年9月初,当时骇客利用了CVE-2024-8190、CVE-2024-8963、CVE-2024-9380,而能在目标设备上远端执行任意程式码。一旦他们成功取得初始入侵管道,就会执行经过Base64演算法处理的Python指令码,挖掘帐密资料。
接著,为了能持续在受害设备上活动,UNC5174还会部署或产生PHP打造的Web Shell、窜改设备已经存在的PHP指令码,以便加入Web Shell的功能,此外,在部分攻击活动里,骇客会植入核心模组的rootkit程式。
这些骇客也会利用CSA设备做为入侵受害组织的据点,在网路环境进行侦察及横向移动,并收集更多帐密资料,相关漏洞利用活动一直持续到11月底。附带一提的是,为了避免其他骇客对受害的CSA设备下手,UNC5174也会试图自行修补利用的漏洞。
在ANSSI发现的其中3起事故里,骇客透过CSA设备进行横向移动,潜入受害组织的内部资讯系统,并透过收集到的帐密资料,维持在受害组织的网路环境活动。