Aanvallers maken al enige tijd gebruik van een reeks kwetsbaarheden in Ivanti Connect Secure VPN om servers te compromitteren en van backdoors te voorzien. Daarbij wordt nu ook geprobeerd om deze backdoors upgrades, patches en zelfs fabrieksresets te laten overleven. Dit is echter door een fout in de malware nog niet gelukt, zo stelt securitybedrijf Mandiant in een analyse.

Volgens het bedrijf laat deze ontwikkeling wel zien hoeveel moeite de aanvallers proberen te doen om toegang tot belangrijke doelwitten te behouden en benadrukt tevens het belang om netwerkapparatuur van de laatste updates en patches te voorzien. Mandiant stelt dat waarschijnlijk tal van Ivanti vpn-servers via de recent misbruikte zerodaylekken zijn gecompromitteerd.

Vanwege de aanvallen werden Amerikaanse overheidsdiensten opgedragen om Ivanti-apparaten van het netwerk los te koppelen. Ook werden organisaties opgeroepen, onder andere door Europol, om een fabrieksreset van de apparatuur uit te voeren. De aanvallers proberen hierop te anticiperen door hun malware een dergelijke reset te laten overleven. "Dit is tot nu toe niet succesvol geweest vanwege een gebrek aan logica in de malwarecode om rekening te houden met een encryption key mismatch", aldus Mandiant.

De aanvallen zijn volgens het securitybedrijf het werk van twee vanuit China opererende spionagegroepen. Ivanti heeft inmiddels een nieuwe versie van de Integrity Checking Tool (ICT) uitgebracht waarmee organisaties de aanwezigheid van malware kunnen detecteren. Afsluitend stelt Mandiant dat de aanvallers via de gebruikte malware en pogingen om fabrieksresets te overleven hebben aangetoond over uitgebreide kennis van Ivanti vpn-servers te beschikken. Het securitybedrijf verwacht dat deze en andere groepen zerodaylekken in netwerk edge apparaten zullen gebruiken om organisaties aan te vallen.