Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, yönetişim ve risk yönetimi
Ivanti ürünlerini hedefleyen Çinli hackerların daha fazla kanıt yüzeyleri
Jayant Chakravarti (@Jayjay_tech) •
4 Nisan 2025
Şüpheli bir Çin siber boyama operasyonu, Ivanti tarafından yapılan VPN cihazlarında bırakılan bir kötü amaçlı yazılımın arkasında. Tehdit oyuncusu, Şubat ayında kuşatılmış Utah Company’nin yamalandığı kritik bir güvenlik açığı kullandı – muhtemelen Çinli hackerların yakın zamanda yamalı kusurları hızla sömürdüğü ve Ivanti ürünlerini hedeflemek için daha fazla kanıtı.
Ayrıca bakınız: Ondemand i siber suçlular tatilleri çıkarmıyor
Mantiant Perşembe günü araştırmacılar, UNC5221 olarak izlediği bir tehdit grubunun, Çin ulus-devlet operasyonlarıyla yakından ilişkili olan Spawn ekosisteminden kötü amaçlı yazılımları geride bırakmak için Ivanti Connect Secure’de yığın tabanlı bir tampon taşması kullandığını yazdı. Mantiant ayrıca “Trailblaze” ve “Brushfire” adlı iki yeni kötü amaçlı yazılım ailesini tespit etti. Pekin’e kadar izlenen önceki Ivanti ihlallerinde olduğu gibi, bilgisayar korsanları, algılamadan kaçmak için dahili Ivanti Integrity Checker aracını değiştirmeye çalıştı.
“Şüpheli China-Nexus Casusege Actor” için bilgisayar korsanları, CVVE-2025-22457’yi, Connect Secure sürüm 22.7R2.5 veya önceki cihazları hedeflemek için kullandı, Connect Secure 9.x cihazı, ilke güvenli, merkezi erişim kontrolleri sağlayan bir ağ erişim çözümü, bir veri merkezinde uygulama ve kaynaklara erişimi kontrol eden sanal makineler. Şirket, Connect Secure için 11 Şubat’ta bir yama yayınladı. Politika güvenliğinin internete açık olmaması ve “ZTA ağ geçitleri için nöronların üretimde kullanılamayacağını” söylüyor.
Ivanti Perşembe günü “aletleri sömürülen sınırlı sayıda müşterinin farkındayız.” Batı istihbarat teşkilatları, Çin ulus-devlet korsanlarının özellikle agresif olduğu konusunda uyardı ve sistem yöneticileri bir yama dağıtmadan önce bunları sömürmek için yeni açıklanan güvenlik açıklarını kullanıyorlar (bkz: bkz: Çinli hackerlar sınıflandırılmamış Hollanda ağına nüfuz etti).
Kötü niyetli aktörler öncelikle 31 Aralık 2024 tarihinde destek Sonu’na ulaşan Connect Secure 9.x Appliance gibi yazılım güncellemeleri almayan eski VPN cihazlarını hedef aldı. Ayrıca Ivanti Connect Secure VPN cihazlarının eski sürümlerini hacklediler.
Ivanti, şirketin ağ cihazlarını saldırılar için verimli bir şekilde bulan Çin ulus devlet bilgisayar korsanlarını savuşturmanın ikinci yılına giriyor. Mantiant ve Ivanti’nin Perşembe uyarısı, ABD Siber Güvenliği ve Altyapı Güvenlik Ajansı’nın Mart ayı sonlarında, Ivanti Connect Connect bir Spawn malware varyantının yükseltilmesi gibi görünen bir truva atından ayrıldığı bir kusurdan farklı bir güvenlik açığı ile ilgilidir (bakınız: bkz: bkz: Rootkit, Backdoor ve Tunneler: Ivanti kötü amaçlı yazılım her şeyi yapar).