Ivanti Connect Secure VPN cihazlarını hedefleyen yeni bir saldırı dalgası, basit ama etkili bir Perl web kabuğunun yanında konuşlandırılan DSLogdrat olarak bilinen gizli bir kötü amaçlı yazılım suşu ortaya çıkardı.
JPCERT/CC’deki güvenlik araştırmacıları, Aralık 2024 Japon organizasyonlarına yapılan saldırılarda istismar edilen sıfır günlük bir güvenlik açığı olan CVE-2025-0282’nin kullanımı ile ilgili adli bir araştırma sırasında bu enfeksiyonları tespit etti.
DSLOGDRAT Hafif Web Kabası üzerinden Başlangıç Erişim
Saldırganlar başlangıçta Perl tabanlı bir CGI komut dosyası bir web kabuğu olarak kullandı. Belirli bir çerezin değerini kontrol ederek, kurabiye sert kodlanmış bir jetonla eşleştiğinde komut dosyası keyfi komutlar çalıştırabilir. Bu Barebones Backdoor, tehlikeye atılmış Ivanti cihazlarında uzaktan komut yürütmeyi etkinleştirdi ve muhtemelen DSLogdrat’ı dağıtmak için LaunchPad olarak hizmet etti.
Bir kez piyasaya sürüldükten sonra DSLogdrat, çok işlemli bir tasarımla kalıcılık oluşturur. Ana süreç bir çocuğu ortaya çıkarır ve çıkarken, ilk çocuk kalıcı bir döngüye girer ve komut ve kontrol (C2) iletişimi ile görevli ikinci bir çocuk oluşturur. Bu temel süreç kullanır pthread Kütüphane, uzak C2 sunucusuyla iletişim kurmak için özel bir iş parçacığını yönetmek için.
İletişim rutini, yapılandırma verilerinin alınmasını, soketlerin yönetilmesini ve saldırgandan alınan komutları kullanmayı içerir. JPCERT/CC’nin analizine göre, C2 iletişimi 0x01 ila 0x07 arasındaki anahtarlar kullanılarak 7 baytlık bloklarda xor kodlanır.
Kötü Yazılım Yapılandırması: Çalışma Saatleri ve C2 Ayrıntıları
DSLogdrat ikili, sabit kodlanmış ve xor kodlu yapılandırma verileri içerir. Kod çözdükten sonra araştırmacılar, kaçınma ve operasyonel kontrol için uyarlanmış ortamlar buldular. Örneğin, kötü amaçlı yazılım sadece sabah 8:00 ile 14:00 arasında aktive olacak – normal iş faaliyetleriyle karışmak ve anomali algılama araçlarından kaçmak için programlanmıştır.
Anahtar yapılandırma ayrıntıları şunları içerir:
- C2 Sunucu IP: 3.112.192[.]119
- Liman: 443
- Komut kabuğu: /bin /sh
- Proxy Kurulumu: 127.0.0.1, Kullanıcı: Yönetici, Şifre: Yönetici
- Konu ve Dosya Referansları:/Home/bin/dslogd, [kworker/0:02]
Tasarım, görünüşte normal trafik pencereleri içinde çalışırken algılamayı önlemek ve bir dayanak korumak için açık bir niyet göstermektedir.
Yetenekler: Kabuk yürütmesinden tam proxy desteğine
DSLogdrat çok çeşitli işlevleri işleyebilir. Bunlar, dosya yükleme ve indirme, kabuk komutları yürütme ve bir proxy tüneli olarak hizmet etmeyi içerir – bu, diğer uzlaşmış varlıklar aracılığıyla yanal hareket veya veri açığa çıkmasına izin verir.
Desteklenen komut değerleri şunları içerir:
- Dosya Transferleri:
0x4–0x8–0xA - Kabuk İşlemleri:
0xCile0xE - Proxy Hizmetleri:
0x13ile0x18 - Yönlendirme ve yeniden yönlendirme:
0x28–0x29
İlk C2 kontağı sırasında, kötü amaçlı yazılım, operatörün sunucu tarafı takımları tarafından ayrıştırma için tasarlanmış kodlanmış ana bilgisayar bilgilerini içeren yapılandırılmış bir paket kullanarak bir sistem parmak izi gönderir.
Spawnsnare kötü amaçlı yazılımlarla örtüşme
Araştırmacılar ayrıca aynı tehlikeye atılan sistemlerde Spawnsnare arka kapısını da gözlemlediler. Çin tehdit oyuncusu UNC5221 ile bağlantılı olan bu kötü amaçlı yazılım, daha önce Nisan 2025’te hem Google hem de CISA tarafından açıklanmış olmasına rağmen, DSLogdrat’ı aynı aktöre bağlamasa da, her iki kötü amaçlı suşun eşzamanlı varlığı olası koordinasyon veya araç paylaşımı önermektedir.
Ayrıca okuyun: CISA, Ivanti saldırılarında kullanılan yeni kötü amaçlı yazılımları detaylandırıyor
Güvenlik Danışma ve Outlook
Japonya’nın JPCERT/CC ve ABD CISA, Ivanti Connect Secure, özellikle CVE-2025-22457’yi etkileyen güvenlik açıkları hakkında uyarılar yayınladı. Bu olaylar, ağ çevrelerindeki konumları ve genellikle lakin yama döngüleri nedeniyle finansal hedefler olan daha geniş bir devlet uyumlu siber aktivite hedefleme kenar cihazları ve VPN cihazları dalgasının bir parçasıdır.
Ivanti Connect Secure kullanan kuruluşların derhal mevcut yamaları uygulaması, cihazlarının adli incelemelerini yapmaları ve bilinen uzlaşma göstergelerini (IOCS) izlemeleri istenir:
- Kötü amaçlı yazılım karma:
1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8 - Web Kabuğu Yolu:
/home/webserver/htdocs/dana-na/cc/ccupdate.cgi - C2 IP:
3.112.192[.]119
DSLOGDRAT girişi, Ivanti sistemlerindeki sıfır gün kusurlarından yararlanan katmanlı ve disiplinli bir saldırı stratejisi ortaya çıkarır. Farklı işletim pencereleri, kodlanmış iletişim ve modüler yeteneklerle, kötü amaçlı yazılım, gizli odaklı, sömürü sonrası araçlarda devam eden bir evrimi yansıtır. Ivanti güvenlik açıklarının sömürülmesi devam ettikçe, savunucular potansiyel yanal hareketi sınırlamak için tehdit avına ve ağ segmentasyonuna öncelik vermelidir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.