Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
CISA, İleri Ivanti VPN kötü amaçlı anatomi yayınladı
Prajeet Nair (@prajeaetspeaks), David Perera (@Daveperera) •
31 Mart 2025
Çin ulus-devlet korsanları tarafından konuşlandırılan kötü amaçlı bir aileye bağlı Truva atları kullanan bilgisayar korsanları, Ivanti Connect Güvenli cihazlarda aktif olarak şimdi daplanmış bir güvenlik açığından yararlanıyor.
Ayrıca bakınız: Bulut güvenliği ve güvenlik duvarının gelişen rolü
İnternet cihazı üreticisi Ivanti, şüpheli ulus-devlet saldırganlarının CVE-2025-0282 olarak izlenen kritik bir yığın tabanlı tampon taşma güvenlik açığı kullandığına dair kanıtların ardından Ocak ayında VPN cihazlarına acil bir güncelleme getirdi (bakınız: Sıfır Gün Patch Uyarısı: Ivanti Saldırı Altında Secure Connect).
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı tarafından Cuma günü yayınlanan analiz, Ivanti’nin cihazına yapılan bir saldırıdan kurtarılan kötü amaçlı dosyaların Ajans “Dubs” Day “Dairen Dams’ı içerdiği konusunda uyarıyor.
Kötü amaçlı yazılım “bir rootkit, damlalık, arka kapı, bootkit, proxy ve tünelin özelliklerini içeriyor” dedi. Ivanti önyükleme diskine kopyalanmış bir web kabuğu oluşturur ve dosyaları değiştirir ve bütünlük kontrollerini değiştirir.
İşlevselliği, 2024’te siber telaş Intel firma Mantiant’ın şüpheli bir Çin-nexus casusluk aktörünün saldırılarında, UNC5325 olarak izlediği Ivanti VPN cihazlarına yönelik saldırılarda bulunduğu “yumurtlama” özel kötü amaçlı yazılım ailesinin bir çeşidi olarak yükseltilmiş gibi görünüyor. Selefi üzerinde bir iyileştirme kavramı, Resurge Dosya adına gömülüdür “libdsupgrade.so. “
Saldırıdan kurtarılan bir başka dosya da, şüpheli Çinli aktörler tarafından Ivanti cihazlarına yönelik önceki saldırılarda da görülen bir kütük kurcalama yardımcı programı olan Spawnsloth’un bir çeşididir. Saldırganlar ayrıca açık kaynaklı bir kabuk komut dosyası içeren özel bir gömülü dosya “ve açık kaynaklı araç meşgul kutusundan bir uygulama alt kümesi” yükledi. Bu, bilgisayar korsanlarının yükleri indirme ve yürütme gibi işlevleri gerçekleştirmesine izin verir.
Mart ayında Microsoft, CVE-2025-0282 kullanarak sıfır gün hacklemeyi ipek tayfun olarak izlediği Çin tehdit aktörüne bağladı. ABD federal savcıları Mart ayında iki Çinli hacker, 2024 Hazine Sunucusuna müdahale de dahil olmak üzere ipek tayfun etkinliği için suçladı.
Çin ulus-devlet hackerları, sistem yöneticileri bir yama dağıtmadan önce onları kullanacak şekilde yeni açıklanan güvenlik açıklarını kullanmada özellikle agresifti. Hollanda Ulusal Siber Güvenlik Merkezi Şubat 2024’te, “Bunu yüksek operasyonel bir tempo ile yapıyorlar, bazen yayınlandıkları gün güvenlik açıklarını kötüye kullanıyorlar.” Dedi. Çinli hackerlar sınıflandırılmamış Hollanda ağına nüfuz etti).
Resurge ve Spawnchimera arasındaki benzerlikler, her iki kötü amaçlı dosyanın komut ve kontrol için nasıl güvenli bir kabuk tüneli oluşturduğunu içerir. Spawnchimera ve yeniden şekillendirme, yeniden başlatmalardan kurtulabilir ve strncpyC programlama dilinde karakterleri bir dizeden diğerine kopyalayan bir işlev. Bu yılın başlarında WatchTowr’dan araştırmacılar, Ivanti geliştiricilerinin kopyalama işlevini hedef arabelleğin boyutuyla sınırlamadığını buldular. Bu, bilgisayar korsanlarının büyük, kötü niyetli dizeler göndermesine ve sonuçta uzaktan kod yürütmesine ulaşmasına izin verdi. Her iki truva atı da değiştirir strncpy 256 baytlık boyut sınırını düzeltmek için kusuru etkili bir şekilde sabitleyin.