Japonya’nın siber savunucuları, son üç aydır bir yama mevcut olmasına rağmen, günümüzde kullanılmaya devam eden bir dizi Ivanti Connect güvenli güvenlik açıkları için bir kez daha kırmızı bayrağı yükseltti.
En son güncelleme, Japon bilgisayar acil müdahale ekibinin Nisan ayında, ilk olarak DSLogdrat ve SpawnChimera kötü amaçlı yazılım varyantlarını dağıtmak için CVE-2025-0282 ve CVE-2025-22457 olarak izlenen Ivanti Connect Secure hatalarının sömürülmesini detaylandıran kritik bir danışmanlık yayınladıktan sonra geliyor.
Ayrıca okuyun: DSLOGDRAT IVANti Connect Secure Sıfır Gün Kampanyası’nda konuşlandırıldı
JPCERT/CC, bu hataların sömürülmesini izlemeye devam ettiğini, ancak ayrıca DLL yan yüklemeyi kullanan bir yükleyici yardımıyla bir kobalt grev işaretinin dağıtılması da dahil olmak üzere yeni kötü amaçlı yazılım varyantlarını belirlediğini söyledi.
Yükleyici, açık kaynaklı proje libpeconv’a dayanır ve veri dosyalarını çözmek için hızı ve sadeliği ile bilinen bir akış şifresi olan RC4’ü kullanır ve anahtarı, yürütülebilir dosyaların MD5 karma değerinden kaynaklanır. Bu yöntem, yürütme için yürütülebilir dosyayı, yükleyiciyi ve veri dosyasını gerektirir ve saldırganların muhtemelen bu yöntemi kullanarak gizlenmesi amaçlanmıştır.
Truva atının tanımladığı diğer uzaktan erişim “Vshell” idi. Araştırmacılar, GitHub deposunun artık herkese açık olmadığını, ancak “saldırganların Windows yürütülebilir Vshell sürüm 4.6.0 kullanılarak gözlemlendiğini” söyledi. Bu sıçanın çok ilginç bir işlevselliği, özellikle sistem dilini kontrol etti ve Çin olmasaydı daha fazla yürütmeye devam etti.
Gözlenen üç yükün sonuncusu, Go dilinde yazılmış açık kaynaklı bir ağ tarama aracı olan “FSCAN” idi. Bu araç tekrar DLL yan yükleme kullanılarak dağıtıldı.
Ivanti Connect’in sömürüsü sonrası, saldırganların davranışı
JPCERT/CC ayrıca AD, FTP, MSSQL ve SSH sunucularında kaba kuvvet saldırıları kullanmayı içeren saldırganların dahili ağ ihlali taktiklerini de ortaya koydu. Daha sonra dahili sistemleri taradılar ve SMB güvenlik açığı MS17-010’dan yararlandılar. Çalınan kimlik bilgileri ile, RDP ve SMB yoluyla yanal olarak hareket ettiler ve sistemler arasında kötü amaçlı yazılım dağıttılar.
Saldırganlar ayrıca yeni etki alanı hesapları oluşturdular, erişimi sürdürmek için gruplara eklediler ve kötü amaçlı yazılımları başlangıçta veya tetikleyicilerde çalıştırmasını sağlamak için hizmet veya planlanmış görevler olarak kaydettirdiler. EDR tespitinden kaçınmak için, FilelessRemotepe Meşru dosyalar aracılığıyla kötü amaçlı yazılım yürütmek için ETW girişini atlayarak ntdll.dll. Japon siber savunucular bugün yayınlanan teknik danışma alanlarında daha ayrıntılı taktikler, teknikler ve prosedürler sağladılar.
Ivanti cihazları sadece özel sektör kuruluşları tarafından değil, aynı zamanda devlet kurumları arasında da popülerdir. Ancak, popülerlik onu da birincil bir hedef haline getirdi. Önceki Ivanti hatalarından etkilenen kuruluşlar ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve birkaç Avustralya işletmesini içerir.
JPCERT/CC, “Bu saldırılar Aralık 2024’ten beri devam etti ve özellikle Ivanti Connect Secure gibi VPN cihazlarına yönelik olanlar aktif kalması bekleniyor.”
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.