
威脅情資領導品牌 TeamT5 杜浦數位安全研究指出,與中國有關聯之進階持續性威脅(APT)攻擊者,利用 Ivanti Connect Secure VPN 高風險漏洞發動攻擊,受害單位橫跨全世界 12 個國家,近 20 個不同產業。TeamT5 認為攻擊者仍持續控制受害者的網路,呼籲企業與組織完整盤點系統狀況。
Ivanti 高風險漏洞使系統恐受攻擊者控制
TeamT5 初步判定攻擊者利用 Ivanti Connect Secure VPN 相關的高風險漏洞,展開攻擊;推測可能是利用 CVE-2025-0282 或 CVE-2025-22457 取得初步存取權限。
CVE-2025-0282 和 CVE-2025-22457 皆是 Ivanti Connect Secure VPN 的堆疊緩衝區溢位(stack buffer overflow)漏洞,CVSS 分數高達 9.0(滿分為 10 分)。漏洞成功利用後,攻擊者便可實現遠端程式碼執行,進而入侵內部網路和部署惡意程式。
以其中一例攻擊來說,攻擊者部署的是中國威脅族群的共用惡意程式 SPAWNCHIMERA。SPAWNCHIMERA 是專為 Ivanti Connect Secure VPN 所開發,具備 SPAWN 家族惡意程式的所有功能,包括 SPAWNANT (安裝程式)、SPAWNMOLE(socks5 網路隧道程式)、SPAWNSNAIL(SSH 後門程式)和 SPAWNSLOTH(記錄抹除程式)。
此外,TeamT5 分析研判,其他攻擊者可能也取得漏洞相關資訊,並著手展開針對 Ivanti VPN 設備的攻擊行動。自 4 月以來,我們發現針對 Ivanti VPN 設備的大規模漏洞攻擊嘗試。雖然絕大多數的漏洞攻擊嘗試都以失敗告終,但卻也造成這些 Ivanti VPN 設備被癱瘓且變得不穩定。
受害國家與產業別眾多 宜完整盤點系統狀況
TeamT5 指出受害國家包括奧地利、澳洲、法國、西班牙、日本、南韓、荷蘭、新加坡、台灣、英國、美國、阿拉伯聯合大公國。而受害產業則包括汽車、化學、電信、營造、資安、教育、電子、金融、博弈、政府、法律、製造、媒體、企業集團、跨政府組織、非政府組織、資訊科技、研究機構。
TeamT5 建議受影響單位應即刻展開完整的事件調查。基於攻擊者手法的多變性,如多層次 C2 基礎架構、監控機制迴避與使用記錄抹除程式,若缺乏額外的技術協助,恐不易深入調查內部網路的攻擊者足跡。若需任何進一步的技術協助,可直接聯繫 TeamT5。
關於 TeamT5 杜浦數位安全
TeamT5 專精網路威脅研究,並提供端點偵測與回應(EDR)解決方案,協助美日臺大型企業有效保護商業機密文件,讓營運不受網路攻擊影響。TeamT5 也獲得日本三大巨頭投資,包含日本最大創投 JAFCO 集富集團、日本最大跨國企業且在全球皆有商業投資的 ITOCHU 伊藤忠商事,以及日本最大資安解决方案提供商 MACNICA。
團隊具備超過 20 年的惡意程式與進階持續性威脅(APT)的研究經驗,運用地緣和語言優勢,有效掌握亞太地區的駭客攻擊,更經常受邀參加世界級資安會議、發表研究成果。
Related Post
資安警訊
2024.02.14
【資安即時快訊】Ivanti VPN 零時差漏洞 (CVE-2023-46805 & CVE-2024-21887)
vulnerability research