Siber güvenlik firması TeamT5, siber güvenlik haberleriyle paylaşılan bir raporda açıklanan siber güvenlik firması TeamT5, Çin’e bağlı ileri kalıcı tehdit (APT) grubu Ivanti Connect Secure VPN cihazlarındaki kritik güvenlik açıklarından 12 ülkede ve 20 endüstriye sızmak için kritik güvenlik açıklarından 12 ülkede ve 20 endüstriye sızdı.
Mart 2025’in sonlarından bu yana aktif olan kampanya, CVE-2025-0282 ve CVE-2025-22457 güvenlik açıklarından yararlanmaktadır. Spawnchimera kötü amaçlı yazılım süitini dağıtmak ve kalıcı ağ erişimi oluşturmak için maksimum CVSS skorları 9.0-maksimum CVSS skorları.
Saldırılar, Avusturya, Avustralya, Fransa, İspanya, Japonya, Güney Kore, Hollanda, Singapur, Tayvan, BAE, İngiltere ve ABD hedefli endüstrilerdeki varlıkları etkiledi, devlet kurumları, finansal kurumlar, telekomünikasyonlar, hukuk firmaları ve takımlar arası kuruluşlar gibi yüksek değerli sektörleri kapsıyor.
.png
)
Tehdit aktörleri, çok katmanlı komut ve kontrol (C2) altyapısı ve kütük kullanma araçları ile tespitten kaçınırken, haftalarca kurban ağlarına gizli erişimi sürdürdüler.
Sömürü zincirinin teknik analizi
Maniant tarafından UNC5221 olarak Çin devlet çıkarlarıyla bağları olarak değerlendirilen APT grubu, kimlik doğrulanmamış uzaktan kod yürütme (RCE) elde etmek için Ivanti güvenlik açıklarını silahlandırdı.
İçeri girdikten sonra saldırganlar, Ivanti cihazları için açıkça tasarlanmış modüler bir kötü amaçlı yazılım ekosistemi olan Spawnchimera’yı konuşlandırdı. Anahtar bileşenler şunları içerir:
- Kısırlaştırmak: Bütünlük kontrollerini atlayan gizli bir yükleyici.
- Yumurtlamak: Tünel trafiği için bir çorap 5 proxy.
- Yumurtlamak: Kalıcı erişim için bir SSH arka kapı.
- Yumurtlama: Adli kanıtları silmek için bir kütük değiştirme aracı.
Kötü amaçlı yazılımların dinamik yama özelliği, korunmasız Ivanti bileşenlerini bellekte değiştirmesini sağlar ve yamalar uygulandıktan sonra bile sömürülmeyi sağlar.
Rapid7’deki güvenlik analistleri, CVE-2025-22457’nin başlangıçta düşük riskli bir hizmet reddi hatası olarak göründüğünü ancak daha sonra RCE için silahlandırıldığını belirterek güvenlik açıklarının sömürülebilirliğini doğruladı.
Nisan 2025’ten bu yana, kitlesel sömürü girişimleri birçok Ivanti VPN cihazını dengesiz hale getirdi ve başarısız saldırılar yaygın hizmet kesintilerine neden oldu.
Ivanti’nin Şubat ayında yayınlanan yamalarına rağmen, durgun işletme iyileştirme çabaları nedeniyle binlerce cihaz açılmaya devam ediyor.
Mantiant, Spawnchimera Toolkit’in Unix soket iletişimi ve gizlenmiş yükler de dahil olmak üzere sofistike olmasının, Pekin’in jeopolitik rakiplere karşı siber casusluk üzerine artan odağını yansıttığı konusunda uyarıyor.
TeamT5, etkilenen kuruluşları şunlara çağırıyor:
- Hemen Ivanti’nin sürüm 22.7R2.5 yamalarını uygulayın.
- Uykuda kötü amaçlı yazılımları tanımlamak için tam ağ adli analizleri yapın.
- VPN cihazlarını sıfırlayın ve ihlaller sırasında maruz kalan kimlik bilgilerini iptal edin.
Kampanya, özellikle VPN ağ geçitlerinin, özellikle VPN ağ geçitlerinin kalıcı risklerinin altını çiziyor. Çinli APT’ler giderek daha fazla miras sistemlerini hedefledikçe CISA, federal ajansları 15 Ocak 2025’e kadar Ivanti güvenlik açıklarını yamaya zorladı – birçoğu kaçırılan ve krizi daha da kötüleştirdi.
1.700’den fazla cihaz küresel olarak tehlikeye atılan ve sömürü girişimleri arttıkça, analistler operasyonel serpinti yıllarca devam edebileceği konusunda uyarıyor.
“Saldırganlar kritik altyapı haritaladı ve gelecekteki yıkıcı operasyonlar için hazırlıklar önerdi.” Jeopolitik gerginlikler arttıkça, olay proaktif güvenlik açığı yönetimi ve sektörler arası tehdit istihbarat paylaşımına acil ihtiyacı vurgulamaktadır.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial