Ivanti VPNのゼロデイ悪用、中国スパイグループUNC5337が関与か(CVE-2025-0282)
Securityonline[.]info – January 8, 2025
Ivanti Connect Secureにおける脆弱性CVE-2025-0282の悪用は、中国関連のサイバースパイグループUNC5337によるものである可能性が浮上した。この攻撃を調査しているMandiantが、9日に公開したブログ記事の中で詳しく解説している。
CVE-2025-0282はConnect Secure含む複数製品に影響を与えるバッファオーバーフローの脆弱性。Ivantiは既に8日公開の公式アドバイザリ内で同脆弱性が悪用されていることを伝えており、Connect Secureを修正済みバージョンへアップグレードするよう呼びかけていた。
詳しくはこちらの記事で:
この脆弱性の悪用によって侵害されたデバイスを分析したMandiantによれば、これらのデバイスからはSPAWN系マルウェア(SPAWNANTインストーラー、SPAWNMOLEトンネラー、SPAWNSNAILバックドアなど)や、新たなマルウェアファミリーのDRYHOOKおよびPHASEJAMが発見されたという。DRYHOOKは認証情報を窃取するために展開されるPythonスクリプトで、PHASEJAMはIvanti Connect SecureアプライアンスのコンポーネントにWebシェルを挿入できるドロッパー。これらのツールを利用することで、攻撃者はアクセスを持続させたり、ラテラルムーブメントを実施したり、データの抽出を行ったりできるようになるという。
Mantiantは、2024年12月中旬から始まったこの攻撃はUNC5337というアクターによるものだと、中程度の確度で評価。UNC5337は中国との繋がりを持つサイバースパイグループで、UNC5221の一部だと考えられている。なおUNC5221は、これまでにもSPAWNSNAILやSPAWNMOLEなどのカスタムマルウェアを使ってIvanti Connect Secureを攻撃してきた歴史を持つという。
IvantiとMandiantは、以下の対策を実施して攻撃リスクを緩和するよう推奨している。
- 早急なパッチ適用:Connect Secureの利用者には、修正済みのバージョン(22.7R2.5以降)へのアップグレードが求められる。
- Integrity Checker Tool(ICT)の利用:IvantiはICTをその他のセキュリティモニタリングツールと併せて利用し、侵害有無を検知することを推奨している。
- ファクトリーリセットの実行:侵害が見つかったアプライアンスに関しては、ファクトリーリセットを実施してデプロイメント前の状態に戻すことが推奨されている。
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価