Χάκερ που εκμεταλλεύονται ευπάθειες στο Ivanti Connect Secure για να αναπτύξουν κακόβουλο λογισμικό MetaRAT

Μια ομάδα επίθεσης με έδρα την Κίνα ξεκίνησε μια στοχευμένη εκστρατεία κατά των ιαπωνικών ναυτιλιακών και μεταφορών, εκμεταλλευόμενη κρίσιμα τρωτά σημεία στο Ivanti Connect Secure (ICS).

Η καμπάνια, που αποκαλύφθηκε τον Απρίλιο του 2025, αξιοποιεί δύο σοβαρά τρωτά σημεία για να αποκτήσει αρχική πρόσβαση σε δίκτυα-στόχους και να αναπτύξει πολλές παραλλαγές κακόβουλου λογισμικού PlugX, συμπεριλαμβανομένων των πρόσφατα αναγνωρισμένων MetaRAT και Talisman PlugX.

Η αλυσίδα επίθεσης αποκαλύπτει μια εξελιγμένη προσέγγιση όπου οι χάκερ υπονομεύουν πρώτα τα συστήματα ICS χρησιμοποιώντας τα τρωτά σημεία CVE-2024-21893 και CVE-2024-21887. Μόλις εισέλθουν, εδραιώνουν μια βάση εγκαθιστώντας κακόβουλο λογισμικό σε στοχευμένες συσκευές.

Στη συνέχεια, η ομάδα εισβολέων διεξάγει λεπτομερείς δραστηριότητες αναγνώρισης για να χαρτογραφήσει το περιβάλλον του δικτύου και να συγκεντρώσει διαπιστευτήρια συστήματος από τα παραβιασμένα συστήματα.

Χρησιμοποιώντας κλεμμένα διαπιστευτήρια, ιδιαίτερα προνομιακές πληροφορίες λογαριασμού Active Directory, οι εισβολείς μετακινούνται πλευρικά στην υποδομή δικτύου του οργανισμού-στόχου.

Αναπτύσσουν συστηματικά παραλλαγές PlugX σε πολλούς εσωτερικούς διακομιστές για να διατηρήσουν την επιμονή και να επεκτείνουν τον έλεγχό τους στο παραβιασμένο περιβάλλον.

Αυτή η επίθεση πολλαπλών σταδίων δείχνει προσεκτικό σχεδιασμό και κατανόηση των δομών του εταιρικού δικτύου.

Αναλυτές ασφαλείας LAC Watch αναγνωρισθείς το κακόβουλο λογισμικό μετά τη διεξαγωγή εγκληματολογικής ανάλυσης στα παραβιασμένα συστήματα Ivanti.

Εκστρατεία επίθεσης

Ανακάλυψαν κρίσιμα αρχεία καταγραφής σφαλμάτων με τον κωδικό ERR31093, τα οποία εμφανίζονται όταν το ICS επεξεργάζεται μη έγκυρα ωφέλιμα φορτία SAML που σχετίζονται με την εκμετάλλευση CVE-2024-21893.

Επιπλέον, η εκτέλεση του Εργαλείου ελέγχου ακεραιότητας αποκάλυψε ύποπτα αρχεία που ταιριάζουν με γνωστές υπογραφές κακόβουλου λογισμικού, συμπεριλαμβανομένων των LITTLELAMB, WOOLTEA, PITSOCK και PITFUEL που είχαν προηγουμένως τεκμηριωθεί σε παρόμοιες επιθέσεις.

Το MetaRAT αντιπροσωπεύει μια νέα εξέλιξη στην οικογένεια trojan απομακρυσμένης πρόσβασης PlugX. Αυτή η παραλλαγή υπήρχε τουλάχιστον από το 2022, αλλά παρέμεινε ανώνυμη μέχρι τώρα.

Οι ερευνητές ασφαλείας επιβεβαίωσαν ότι το MetaRAT εκτελεί μέσω πλευρικής φόρτωσης DLL, μια τεχνική που αξιοποιεί τις νόμιμες διεργασίες των Windows για τη φόρτωση κακόβουλου κώδικα.

Το στοιχείο φόρτωσης, που ονομάζεται mytilus3.dll, φορτώνει ένα κρυπτογραφημένο αρχείο shellcode που ονομάζεται materoll, το αποκρυπτογραφεί χρησιμοποιώντας λειτουργίες XOR με τιμή κλειδιού 0xA6 και, στη συνέχεια, εκτελεί τον αποκωδικοποιημένο shellcode στη μνήμη.

Ο shellcode εκτελεί πρόσθετη αποκρυπτογράφηση AES-256-ECB στο αποθηκευμένο ωφέλιμο φορτίο MetaRAT, το οποίο στη συνέχεια συμπιέζεται με LZNT1.

Μόλις αποσυμπιεστεί στη μνήμη, το πραγματικό κακόβουλο λογισμικό MetaRAT ξεκινά την εκτέλεση μέσω εξαγόμενων συναρτήσεων. Αυτή η προσέγγιση πολλαπλών επιπέδων κρυπτογράφησης και συμπίεσης καθιστά την ανίχνευση σημαντικά πιο δύσκολη για τα εργαλεία ασφαλείας.

Το MetaRAT εφαρμόζει κατακερματισμό API για να αποκτήσει τις απαραίτητες λειτουργίες API των Windows και χρησιμοποιεί μηχανισμούς κατά του εντοπισμού σφαλμάτων που εντοπίζουν και καταστρέφουν τα κλειδιά αποκρυπτογράφησης όταν υπάρχει πρόγραμμα εντοπισμού σφαλμάτων.

Λεπτομέρειες ευπάθειας: –

Οι οργανισμοί που χρησιμοποιούν επηρεαζόμενες εκδόσεις του Ivanti Connect Secure θα πρέπει να εφαρμόζουν αμέσως ενημερώσεις κώδικα ασφαλείας και να παρακολουθούν τα συστήματά τους για ενδείξεις συμβιβασμού.

Η παρουσία ύποπτων καταχωρίσεων υπηρεσιών, όπως “sihosts” ή κλειδιών μητρώου με το όνομα “matesile” μπορεί να υποδηλώνει ενεργές μολύνσεις MetaRAT.

Επιπλέον, ο έλεγχος για αρχεία καταγραφής κλειδιών με το όνομα “VniFile.hlp” στον κατάλογο %ALLUSERSPROFILE%\mates\ μπορεί να βοηθήσει στον εντοπισμό των επηρεαζόμενων συστημάτων.