Tehdit aktörleri, bir web kabuğu ve DSLogdrat adlı sofistike bir uzaktan erişim Trojan (sıçan) dahil olmak üzere kötü amaçlı araçlar dağıtmak için CVE-2025-0282 olarak tanımlanan Ivanti Connect Secure’de sıfır günlük bir güvenlik açığından yararlandı.
JPCERT/CC tarafından yapılan ayrıntılı bir analize göre, bu saldırılar, siber suçlular için sık sık bir hedef haline gelen Ivanti ürünlerini çevreleyen kalıcı ve gelişen risklerin altını çiziyor.
Bu tür kötü amaçlı yazılımların takılmamış güvenlik açıkları yoluyla dağıtılması, kuruluşların potansiyel ihlalleri azaltmak için zamanında güncellemelere ve sağlam izlemeye öncelik vermeleri için kritik ihtiyacı vurgulamaktadır.
.png
)
Saldırganlar başlangıçta Perl’de yazılmış ve gelen HTTP isteklerini işlemek için bir CGI komut dosyası olarak çalışan bir web kabuğu yüklediler.
Bu komut dosyası, çerez başlığındaki (dsautoken = AF95380019083db5) ve doğrulama üzerine bir istek parametresi aracılığıyla geçirilen keyfi komutları yürütür.
DSLogdrat ve Web Kabası Operasyonlarının Teknik Arıza
Bu ilkel ama etkili arka kapı, muhtemelen gelişmiş yeteneklere sahip modüler bir sıçan olan DSLogdrat’ı dağıtmak için geçit olarak hizmet etti.
Yürütme üzerine DSLogdrat, bir alt işlem oluşturduktan sonra hızlı bir şekilde sona eren birincil bir işlem ortaya çıkarır, bu da 0x63 anahtarıyla basit bir XOR işlemi kullanarak sabit kodlu yapılandırma verilerini kodlar.
Bu yapılandırma, muhtemelen düzenli iş faaliyetleriyle karışmak ve tespitten kaçmak için kötü amaçlı yazılımların operasyonel penceresini saat 8: 00-28: 00 arasında belirler.
İkinci bir çocuk işlemi, verilerin 0x01 ila 0x07 arasında değişen 7 baytlık bir XOR şemasıyla kodlandığı bir komut ve kontrol (C2) sunucusu ile soket tabanlı iletişim kurmak gibi temel işlevleri ele alır.
Kötü amaçlı yazılım, ilk borsalar sırasında ana bilgisayara özgü bilgileri iletir ve dosya yüklemeleri/indirme, kabuk komutu yürütme ve proxy işlemleri için komutları destekler ve bu da onu kalıcı erişim için çok yönlü bir araç haline getirir.
Tehditin daha da birleşmesi, aynı tehlike altına alınan sistemler, Nisan 2025’te CISA ve Google tarafından daha önce belgelenmiş bir kötü amaçlı yazılım olan Spawnsnare’nin varlığını ortaya çıkardı.
Bu saldırıların doğrudan Spawn ailesiyle ilişkili UNC5221 grubuna bağlanıp bağlanmadığı belirsizliğini korumakla birlikte, örtüşme Ivanti güvenlik açıklarından yararlanan potansiyel bir kampanyayı önermektedir.
JPCERT/CC ayrıca CVE-2025-22457 için ek bir uyarı kaydetti, Ivanti Connect Secure’un saldırganlar için yüksek değerli bir hedef kaldığını gösteriyor.
DSLogdrat’ta Pthread Kütüphanesi’ni kullanan kodlanmış yapılandırma, iletişim modelleri ve çok iş parçacıklı mimari, enfekte olmuş sistemlerde gizli ve esnekliği korumak için kasıtlı bir tasarım gösterir.
Kuruluşlar, bu tehditleri etkili bir şekilde tespit etmek ve bunlara yanıt vermek için JPCert/CC’nin eklerinde sağlanan C2 sunucusu ayrıntıları ve dosya karmalar gibi uzlaşma göstergelerini gözden geçirmeleri istenir.
Ivanti altyapısına yapılan saldırıların devam etmesi beklendiğinden, yama yönetimi, ağ izleme ve olay müdahale planlaması gibi proaktif önlemler, kritik sistemleri bu tür sofistike sömürüden korumak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!