Güvenlik araştırmacıları, şüpheli Çin tehdit aktörleri tarafından aktif olarak sömürülen Ivanti Connect Secure (ICS) VPN cihazlarında kritik bir güvenlik açığı tespit ettiler.
CVE-2025-22457 olarak izlenen güvenlik açığı, ICS sürüm 22.7R2.5 ve daha önceki bir tampon taşma kusurudur ve bu da uzaktan kod yürütülmesine yol açabilir.
Kanıtlar, sömürünün Mart 2025’in ortalarında başladığını ve saldırganların casusluk operasyonları için tasarlanmış sofistike kötü amaçlı yazılım suşlarını dağıtmak için kırılganlıktan yararlandığını göstermektedir.
Saldırılar, 2023 yılına dayanan sıfır gün sömürüleri yoluyla kenar cihazlarını hedefleme geçmişine sahip şüpheli bir Çin-nexus casusluk aktörü olan UNC5221’e atfedildi.
Bu grup, çalışma istismarlarını geliştirmek için geri çeken güvenlik yamalarını tersine çevirme yeteneği de dahil olmak üzere sofistike yetenekler göstermiştir.
Bu kampanyada, muhtemelen ICS 22.7R2.6 için Şubat 2025 yamasını saldırı metodolojilerini geliştirmek için incelediler.
Google Tehdit İstihbarat Analistleri, başarılı bir şekilde sömürülmesinin ardından, tehdit aktörlerinin, daha önce belgelenmiş iki araç – Trailblaze ve Brushfire da dahil olmak üzere birden fazla kötü amaçlı yazılım ailesi kullandığını belirledi.
Bu araçlar, tespit mekanizmalarından kaçarken kalıcı erişim sağlamak için konserde çalışır.
Güvenlik açığının sömürülmesi, UNC5221’in taktiklerinde, sadece sıfır gün güvenlik açıklarını kullanmaktan cephaneliğinde N-Day kusurlarından yararlanmaya geçtikleri için bir evrimi temsil eder.
Güvenlik araştırmacılarına göre, grup çok çeşitli ülkeleri ve dikey sektörleri hedefliyor ve agresif bir operasyonel tempo ve kapsamlı araç seti gösteriyor.
Sıkıştırma sonrası taktikler
Güvenlik açığından başarıyla yararlandıktan sonra, saldırganlar bir kabuk komut dosyası damlası ile başlayarak sofistike bir saldırı zinciri kullanıyorlar.
Bu ilk komut dosyası, minimal ve gizli olmak üzere tasarlanmış ham syscalls kullanılarak çıplak c’de yazılmış bir bellek içi damlalık olan TrailBlaze’yi yürütür.
Trailblaze daha sonra fırça ateşi pasif arka kapıyı koşmaya enjekte eder /home/bin/web işlem.
Enfeksiyon işlemi, hedef süreç hakkında bilgi depolayan birkaç geçici dosya oluşturur:-
/tmp/.p: contains the PID of the /home/bin/web process
/tmp/.m: contains a memory map of that process
/tmp/.w: contains the base address of the web binary
/tmp/.s: contains the base address of libssl.so
/tmp/.r: contains the BRUSHFIRE passive backdoor
/tmp/.i: contains the TRAILBLAZE dropperBrushFire, SSL_READ işlevini bağlayarak çalışır ve şifreli iletişimi engellemesine izin verir.
Spesifik tetikleme dizeleri tespit edildiğinde, durdurulan verilerde bulunan kabuk kodunu şifresini çözer ve yürütür ve sonuçları SSL_WRITE üzerinden geri gönderir.
Bu sofistike teknik, saldırganların diske kötü amaçlı dosyalar yazmadan tamamen bellekte çalıştıkları için algılama riskini en aza indirirken kalıcı bir varlığı sürdürmelerini sağlar.
Güvenlik uzmanları, kuruluşların hemen etkilenen Ivanti Connect Güvenli cihazları 22.7R2.6 veya daha sonraki sürümlere yükseltmesini ve şüpheli etkinlikleri tanımlamak için Integrity Checker aracını kullanmasını önerir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free