中国背景的UNC5325威胁组攻击Ivanti网络设备

关键要点

UNC5325是中国背景的网络间谍组织，专门利用Ivanti的高危漏洞进行攻击。Ivanti已为其Connect Secure、Policy Secure和Neurons for Zero Trust Access等设备发布了多个补丁。该组织使用新型恶意软件和生活在土地上的技术，意图在系统更新和恢复出厂设置后保持潜伏。Mandiant认为UNC5325与UNC3886有关联，后者在2022年针对VMware ESXi主机发起了攻击。

中国背景的威胁组织负责针对Ivanti网络设备的持续攻击，研究人员认为该组织已经对这些设备具备了“显著的认识”。今年迄今为止，Ivanti已对其网络安全设备发布了关于五个高危和危急漏洞的补丁，这些设备包括Connect Secure、Policy Secure和Neurons for Zero Trust Access。

研究人员早前就怀疑这些漏洞的利用与中国国家级威胁行为者有关，但具体归属某个特定组织依然比较困难。在Mandiant的一篇2月27日的文章中，该公司表示，经过与Ivanti的合作，研究人员将此次攻击与另一个过去曾利用类似技术针对虚拟化技术的威胁组织关联起来。

Mandiant将负责Ivanti攻击的行为者命名为UNC5325，并在其文章中表示，该组织利用了一系列生活在土地上的技术以规避检测，同时使用新型恶意软件在系统升级、补丁和恢复出厂设置后持续存活。

“尽管迄今观察到的维持潜伏的有限尝试失败，原因在于恶意软件代码没有逻辑来处理加密钥匙不匹配，但这进一步表明UNC5325在维持对重点目标的访问方面采取的极端手段，并强调了确保网络设备更新和补丁的重要性。”研究人员指出。

UNC5325威胁组织背后的是什么？

UNC5325被怀疑是中国网络间谍操作者，负责利用 CVE202421893这一漏洞，该漏洞于1月31日被Ivanti披露并修复。该组织的战术、技术和程序TTP以及恶意软件的部署，展示了怀疑与中国相关的间谍行为者如何继续利用零日漏洞对边缘基础设施进行攻击。

研究人员将UNC5325与另一个未分类的中国威胁组织UNC4841进行了对比，该组织被认为对去年的一系列攻击针对Barracuda Networks的Email Security Gateway设备负责。

火烧云加速器app官网

“与UNC4841对Barracuda ESG的熟悉程度相似，UNC5325展示了对Ivanti Connect Secure设备的深入了解，这体现在他们使用的恶意软件和在恢复出厂设置后维持存活的尝试中。”研究人员表示。

Mandiant预计UNC5325以及其他中国背景的间谍组织将继续利用网络边缘设备上的零日漏洞以及特定于设备的恶意软件，以获取和维持对目标环境的访问。

研究公司以中等信心评估UNC5325与另一个中国国家级团体UNC3886有关联，该组织被认为与2022年针对VMware ESXi主机的攻击有关，主要目标是美国及亚太地区的国防工业基础、科技和电信组织。

“我们正在继续收集证据并识别UNC3886与其他怀疑的中国间谍组织之间的重叠，包括目标和使用的独特战术、技术和程序。”

与此同时，Ivanti在2月27日发布了一份新的安全公告，告知客户已发布增强版本的外部完整