昨日公開された Ivanti Connect Secure の重大なゼロデイ脆弱性を悪用したハッカーが、侵害された VPN アプライアンスに「Dryhook」および「Phasejam」と呼ばれる新しいマルウェアをインストールした。
現在 CVE-2025-0282 として追跡されているこのセキュリティ問題は、Ivanti Connect Secure 22.7R2.5 およびそれ以降、Ivanti Policy Secure 22.7R1.2 およびそれ以降、Ivanti Neurons for ZTA ゲートウェイ 22.7R2.3 およびそれ以降に影響を及ぼす、スタックベースのバッファオーバーフローの重大な欠陥です。
この欠陥は広範な影響を及ぼすが、ベンダーは、攻撃はConnect Secureアプライアンスに対してのみ観測されたことを明記しており、影響を受ける顧客の数は「限定的」であるとも述べている。
サイバーセキュリティ企業Mandiant(現在はGoogle Cloudの一部)によると、攻撃者は12月中旬からこの脆弱性を利用し始め、カスタムSpawnマルウェア・ツールキットを使用したという。
この悪意のあるフレームワークは、通常、同社がUNC5337として追跡している中国に関連したスパイ活動の疑いがあり、UNC5221として追跡されているより大きなクラスターの一部である可能性が高い。
しかし、いくつかの感染したアプライアンスで発見された未知の「Dryhook」および「Phasejam」マルウェア・ファミリーは、現時点ではどの脅威グループにも起因していません。
攻撃チェーンと新種マルウェア
Mandiantのレポートによると、攻撃者はICSアプライアンスのバージョンを特定するために、特定のURLにHTTPリクエストを送信していた。出所を隠すために、脅威者はVPSプロバイダーまたはTorネットワークを介してリクエストを送信しました。
次に、CVE-2025-0282を悪用して初期アクセスを行い、SELinuxの保護を無効にし、iptablesのルールを変更してsyslogの転送を防止し、ドライブを「読み書き可能」として再マウントしてマルウェアの展開を可能にした。
研究者によると、ハッカーはPhasejamドロッパーを起動し、「getComponent.cgi」や「restAuth.cgi」などの侵害されたコンポーネントにウェブシェルを展開する一方、コマンド実行を可能にするためにシステムファイルを上書きしたという。
ハッカーはまた、アップグレードスクリプト「DSUpgrade.pm」を改変し、実際のアップグレードをブロックして偽のアップグレードプロセスをシミュレートすることで、マルウェアがシステム上に持続するようにした。
攻撃者はまた、Spawnmole(トンネラー)、Spawnsnail(SSHバックドア)、Spawnsloth(ログ改ざんユーティリティ)といった「Spawn」ツールもインストールしており、これらはPhasejamウェブシェルとは異なり、システムのアップグレードを越えて持続することができます。
Spawnマルウェアと新しい脅威の両方は、悪意のあるファイルのSHA256ファイルハッシュを再計算することで、IvantiのIntegrity Checker Tool(ICT)を回避し、検証を通過させようとしました。
「SPAWNANTは、悪意を持って変更されたファイルのSHA256ハッシュを再計算することで、ICTを回避しようとします。適切な変更が完了すると、SPAWNANT は変更されたマニフェストに署名するための新しい RSA 鍵ペアを生成します。”-Mandiant
ハッカーの目的は、通常「VPNセッション、セッションクッキー、APIキー、証明書、およびクレデンシャルマテリアル」に関連する機密情報を含むアプライアンス内のデータベースを盗むことにあるようです。
「Mandiantは、脅威行為者が侵害されたアプライアンス上のデータベースキャッシュをアーカイブし、データベースの流出を可能にするために、公衆向けWebサーバによって提供されるディレクトリにアーカイブされたデータをステージングすることを観察しました」と研究者は説明しています。
最後に、脅威者はDryhookと呼ばれる新しいマルウェアを使用して、標準的な認証プロセス中にユーザー名とパスワードをキャプチャし、将来の検索のためにそれらをbase64エンコード形式で保存します。
防御策
システム管理者は、内部および外部のICTスキャンで悪意のある活動の兆候が見つからなくても、工場出荷時のリセットを実行し、Ivanti Connect Secure 22.7.R2.5にアップグレードすることを推奨する。
Mandiantはまた、このキャンペーンに関連する不審な活動を検出するのに役立つYARAルールとともに、侵害の指標(IoC)のリストを共有しています。
マクニカ・リサーチャーの世治山裕氏によると、Ivanti社がこの脆弱性のパッチをリリースした時点で、3,600台以上のICSアプライアンスが公開されていたという。
同リサーチャーによると、現在ではその数は約2,800台にまで減少しており、攻撃にさらされる可能性のある攻撃対象はまだかなり残っているとのことだ。
Comments