中國相關威脅行動者利用 Ivanti Connect Secure VPN 漏洞滲透多國單位

3 月底，TeamT5 的遙測察知中國相關 APT 族群利用 Ivanti Connect Secure VPN 高風險漏洞發動攻擊，受害單位橫跨全世界 12 個國家，近 20 個不同產業。截至分析時，我們確信攻擊者仍持續控制受害者的網路。

受害國家奧地利、澳洲、法國、西班牙、日本、南韓、荷蘭、新加坡、台灣、英國、美國、阿拉伯聯合大公國。而受害產業則包括汽車、化學、電信、營造、資安、教育、電子、金融、博弈、政府、法律、製造、媒體、企業集團、跨政府組織、非政府組織、資訊科技、研究機構。

我們的分析持高度信心攻擊者是利用 Ivanti Connect Secure VPN 相關的高風險漏洞展開攻擊。根據我們目前掌握的資訊，攻擊者可能是利用 CVE-2025-0282[1] 或 CVE-2025-22457[2] 取得初步存取權限。

CVE-2025-0282 和 CVE-2025-22457 都是 Ivanti Connect Secure VPN 的堆疊緩衝區溢位（stack buffer overflow）漏洞，CVSS 分數為 9.0。漏洞成功利用後，威脅行動者便得以實現遠端程式碼執行，進而入侵內部網路和部署惡意程式。

在這起攻擊中，攻擊者部署的是中國威脅族群的共用惡意程式 SPAWNCHIMERA。SPAWNCHIMERA 是專為 Ivanti Connect Secure VPN 所開發，具備 SPAWN 家族惡意程式的所有功能，包括 SPAWNANT （安裝程式）、SPAWNMOLE（socks5 網路隧道程式）、SPAWNSNAIL（SSH 後門程式）和 SPAWNSLOTH（記錄抹除程式）。

此外，我們的分析研判，其他威脅行動者可能也有取得漏洞相關資訊，並著手展開針對 Ivanti VPN 設備的攻擊行動。自 4 月以來，我們發現針對 Ivanti VPN 設備的大規模漏洞攻擊嘗試。雖然絕大多數的漏洞攻擊嘗試都以失敗告終，但卻也造成這些 Ivanti VPN 設備被癱瘓且變得不穩定。

TeamT5 建議受影響單位應即刻展開完整的事件調查。基於攻擊者手法的多變性，如多層次 C2 基礎架構、監控機制迴避與使用記錄抹除程式，若缺乏額外的技術協助，恐不易深入調查內部網路的攻擊者足跡。若需任何進一步的技術協助，可直接聯繫 TeamT5。

[1] CVE-2025-0282

[2] CVE-2025-22457