Siber güvenlik firması TeamT5’in bir raporunda, Çin’in ileri kalıcı bir tehdit (APT) grubunun, küresel bir siber saldırı başlatmak için Ivanti Connect Secure VPN cihazlarında kritik güvenlik açıklarından yararlandığı ortaya çıktı.
İhlal, 12 ülkede yaklaşık 20 endüstriyi etkiledi, ağları açığa çıkardı ve kalıcı bir tehdit altında bıraktı.
Küresel mağdur
Yaygın saldırı, otomotiv, kimyasal, inşaat, finans, telekomünikasyon ve devlet kuruluşları gibi endüstrileri kapsayan hem özel hem de kamu sektörlerini sarstı.
.png
)
Kurban ülkeleri arasında ABD, Birleşik Krallık, Fransa, Japonya, Avustralya ve Güney Kore gibi büyük ekonomilerin yanı sıra Singapur ve Birleşik Arap Emirlikleri gibi bölgesel merkezler bulunmaktadır.
Avusturya, İspanya, Tayvan ve Hollanda’daki varlıklar da operasyonun geniş kapsamlı kapsamını vurgulayarak etkilendi.
TeamT5’e göre, saldırganlar analiz zamanı itibariyle enfekte ağlar üzerinde kontrolü sürdürdü ve devam eden sömürü ve veri hırsızlığı hakkındaki endişeleri artırdı.
İhlalin teknik detayları
Saldırı, Ivanti Connect Secure VPN cihazlarında iki kritik güvenlik açığını hedefledi: CVE-2025-0282 ve CVE-2025-22457.
CVSS skoru 9.0 ile yığın tamponu taşma zayıflıkları olarak kategorize edilen her iki güvenlik açıkları, siber suçluların uzaktan kodu yürütmesine, dahili ağlara sızmasına ve implant kötü amaçlı yazılımlarına izin vermesine izin verir.
Saldırılarını yürütmek için APT Grubu, Ivanti VPN sistemleri için özel olarak tasarlanmış özelleştirilmiş bir hackleme aracı olan Spawnchimera’yı dağıttı. Spawnchimera, şöhretli Spawn ailesinde önceki kötü amaçlı yazılımların gelişmiş işlevlerini entegre eder:
- Kısırlaştırmak: Kötü amaçlı yükler için bir yükleyici.
- Yumurtlamak: Ağ kalıcılığı için bir çorap 5 tünelleme aracı.
- Yumurtlamak: Gizli iletişim için bir SSH arka kapı.
- Yumurtlama: Saldırının kanıtını silmek için bir kütük değiştirme yardımcı programı.
Saldırganlar, çok katmanlı komut ve kontrol (C2) altyapısı ve izleme sistemlerinden kaçınmak için mekanizmalar gibi sofistike teknikler gösterdi.
Bu taktikler tespit ve sınırlamayı etkilenen kuruluşlar için zorlu bir görev haline getirmiştir.
TeamT5, diğer tehdit aktörlerinin Ivanti VPN sistemlerindeki güvenlik açıklarından da yararlanabileceği ve daha geniş saldırıların hayaletini artırabileceği konusunda uyarıyor.
Nisan başından bu yana, birçok VPN cihazını felç ederek ve onları dengesiz hale getirerek büyük sömürü girişimleri tespit edildi.
Çoğu sömürü çabası başarısız olmasına rağmen, artan etkinlik, daha fazla saldırganın Ivanti’nin güvenlik açıkları hakkında bilgi edindiğini ve potansiyel olarak daha fazla siber kampanyalara yol açtığını göstermektedir.
Bu gelişmeler ışığında TeamT5, etkilenen kuruluşları kapsamlı bir olay soruşturması yapmaya ve proaktif siber güvenlik önlemlerini benimsemeye şiddetle teşvik etmektedir.
Saldırganların kütük değiştirme araçlarını ve ileri kaçaklama stratejilerini kullanması, yeterli teknik kaynaklar olmadan kötü niyetli izleri tespit etmenin zorluğunun altını çiziyor.
Organizasyonlar, riskleri azaltmak ve daha fazla ihlali önlemek için adli analiz için siber güvenlik firmalarını derhal savunmasız Ivanti VPN cihazlarını yamalamalı, izleme mekanizmalarını güçlendirmeli ve siber güvenlik firmalarına katılmalıdır.
Ivanti VPN güvenlik açıklarının sömürülmesi, küresel endüstrilerden ve hükümetlerden gelen uyanıklık ve koordineli eylem talep eden sofistike siber saldırıların yükselen bir gelgitine işaret ediyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!