根據Google旗下資安公司Mandiant最新調查報告顯示,一個疑似中國政府支持的駭客組織正在利用Ivanti Connect Secure VPN設備的最新漏洞:CVE-2025-0282 進行網路間諜活動。該漏洞於1月10日被公開。
攻擊時程與範圍
Mandiant的事件應變團隊表示,他們最早在2024年12月中旬就發現了對CVE-2025-0282的漏洞利用。目前正在分析來自多個組織的受損Ivanti Connect Secure設備。美國網路安全暨基礎設施安全局(CISA)已下令美國聯邦民用機構必須在1月15日前修補此漏洞,這是該機構「已知漏洞目錄」(KEA)建立以來最短的修補期限。
攻擊特徵與惡意程式
研究人員發現攻擊者使用了多種惡意程式,包括:
- SPAWN系列惡意程式:包含SPAWNANT安裝程式、SPAWNMOLE通道工具、SPAWNSNAIL SSH後門和SPAWNSLOTH日誌竄改工具
- DRYHOOK:一個憑證竊取工具
- PHASEJAM:一個網頁後門部署工具
這些惡意程式的使用模式與去年12月利用CVE-2023-46805和CVE-2024-21887漏洞的
UNC5221駭客組織活動高度相似。
相關文章:中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
攻擊手法
根據Mandiant的分析,攻擊者在入侵系統時遵循一個精心設計的攻擊流程。他們首先會停用系統的SELinux安全機制,同時阻止系統日誌的轉發功能,以避免異常行為被記錄。接著,攻擊者會將設備的磁碟重新掛載為可讀寫狀態,這使他們能夠寫入並執行惡意腳本。在部署網頁後門後,攻擊者會仔細清理痕跡,包括移除特定的除錯和應用程式日誌。最後,為了避免引起懷疑,他們會重新啟用SELinux並將磁碟重新掛載回原始狀態。
特別值得注意的是,攻擊者還展現出對Ivanti安全機制的深入了解。
他們不僅試圖規避Ivanti的完整性檢查工具(ICT),還會阻止系統進行合法的升級嘗試,這顯示出攻擊者具有相當的技術實力和耐心。
防護建議
針對這次的攻擊,Ivanti提出了一系列防護建議。首先,建議企業同時啟用內部和外部的完整性檢查工具(ICT),這樣能夠更全面地檢測設備是否遭到惡意修改。不過,由於ICT工具本身不具備惡意程式掃描功能,
Ivanti特別強調必須將ICT與其他安全監控工具配合使用,才能達到完整的防護效果。考慮到這次攻擊的嚴重性,Ivanti建議所有受影響的設備在安裝最新的安全修補程式之前,應該先進行出廠重置,以確保系統的完整性。
更廣泛的影響
這次攻擊事件發生的同時,美國正在處理多起與中國相關的駭客事件。美國財政部長葉倫最近與中國副總理何立峰就財政部遭受的網路攻擊進行了直接對話。據Bloomberg報導,
該次攻擊是由Silk Typhoon組織所為。此外,拜登政府正在計劃一系列行政命令和調查,以應對Salt Typhoon攻擊事件,該事件造成九家主要電信巨頭遭到入侵。
資安專家警告,如果CVE-2025-0282的概念驗證程式碼被公開,可能會有更多駭客組織開始針對Ivanti Connect Secure設備發動攻擊。建議相關組織密切關注情況發展並及時採取防護措施。
延伸閱讀:Ivanti零日漏洞延燒! MITRE遭駭客成功入侵