Gần đây, QuoIntelligence đã phát hiện một biến thể của WIREFIRE web shell, được kết hợp trên Python tìm thấy trong các thiết bị bị xâm nhập của Ivanti Connect Secure (ICS) VPN (CVE-2023-21887 và CVE-2023-46805). Sự phát hiện này đánh dấu đáng kể trong các chiến thuật gián điệp mạng và nâng cao lo ngại về an ninh của các thiết bị VPN tiếp cận internet.
Phiên bản WIREFIRE mới được xác định trong quá trình điều tra về lỗ hổng VPN ICS. Khác với web shell WIREFIRE ban đầu, thường được đặt trong tệp /api/resources/visits.py, phiên bản mới này được tìm thấy trong /api/resources/category.py. Sự thay đổi vị trí này cho thấy cố ý từ các đối tượng đe dọa để né tránh phát hiện và tránh bị bắt bởi các quy tắc YARA công khai.
Biến thể mới được xác định của WIREFIRE cho thấy những thay đổi đáng kể trong phương pháp thực hiện, đặc biệt là trong việc truyền dữ liệu và thực thi. Nó sử dụng cookie để truyền các gói dữ liệu mã hóa, khác biệt so với việc trước đó dựa vào tập tin GIF trong visits.py. Nếu cookie không được thiết lập, mã độc hại sẽ trích xuất gói dữ liệu mã hóa từ yêu cầu API.
Biến thể cho phép thực thi mã độc hại thông qua chức năng exec() của Python. Kỹ thuật này giúp lưu giữ dữ liệu và duy trì tính liên tục qua các yêu cầu POST liên tiếp, tận dụng các chức năng globals() và locals() của Python để lưu trữ dữ liệu sau mỗi lần thực thi.
Việc phát hiện ra biến thể WIREFIRE này nhấn mạnh tính chất luôn thay đổi của mối đe dọa mạng và tầm quan trọng của các biện pháp an ninh linh hoạt. Tổ chức phải duy trì cảnh giác, liên tục cập nhật các công cụ phát hiện và chiến thuật của họ để đối phó với những mối đe dọa này.
