黑客利用 Ivanti ICS 零日漏洞对日本发起攻击

HackerNews 编译，转载请注明出处：

网络安全研究人员警告称，一种名为DslogdRAT的新型恶意软件正通过利用Ivanti Connect Secure（ICS）中已修复的安全漏洞进行传播。该恶意软件与Web Shell在2024年12月期间通过零日漏洞CVE-2025-0282被植入日本多家机构的系统。JPCERT/CC研究员Yuma Masubuchi在周四发布的报告中指出：“攻击者当时利用该零日漏洞安装恶意软件。”

CVE-2025-0282是ICS中的关键远程代码执行漏洞，Ivanti已于2025年1月初修复。该漏洞已被中文背景的网络间谍组织UNC5337用作零日漏洞，用于投递SPAWN恶意软件生态系统及DRYHOOK、PHASEJAM等工具，后两种恶意软件尚未关联到已知威胁组织。

JPCERT/CC和美国网络安全与基础设施安全局（CISA）发现，攻击者后续利用同一漏洞投递SPAWN的更新版本SPAWNCHIMERA和RESURGE。本月初，谷歌旗下Mandiant披露另一个ICS漏洞CVE-2025-22457被用于分发与中国黑客组织UNC5221关联的SPAWN恶意软件。

目前尚不确定使用DslogdRAT的攻击是否属于UNC5221操纵的SPAWN恶意软件活动。攻击链利用CVE-2025-0282部署Perl Web Shell，进而投递DslogdRAT等载荷。DslogdRAT通过套接字连接外联服务器发送系统信息，接收执行Shell命令、文件传输及代理劫持等指令。

威胁情报公司GreyNoise同时警告，过去24小时内针对ICS和Ivanti Pulse Secure（IPS）设备的可疑扫描活动激增9倍，涉及270多个独立IP地址；过去90天累计超过1000个IP。其中255个IP被判定为恶意，643个标记为可疑。恶意IP使用TOR出口节点，可疑IP关联小型托管商，主要来源国为美国、德国和荷兰。该公司表示：“此波扫描可能预示协同侦察及未来攻击准备，尽管尚未关联具体CVE，但类似峰值常出现在实际攻击前。”

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文