Кто стоит за кибератаками на японские организации через уязвимость Ivanti ICS?

В декабре 2024 года японские организации подверглись серии кибератак, в ходе которых злоумышленники эксплуатировали критическую уязвимость CVE-2025-0282 в продукте Ivanti ICS. Эта брешь в безопасности позволяла осуществлять удаленное выполнение кода без аутентификации, что открывало широкие возможности для атакующих. Компания Ivanti устранила уязвимость в начале января 2025 года, однако к этому моменту она уже активно использовалась как zero-day.
Кто стоит за кибератаками на японские организации через уязвимость Ivanti ICS?
Изображение носит иллюстративный характер

Исследователь из JPCERT/CC Юма Масубучи опубликовал детальный отчет, раскрывающий механику атак. Согласно его данным, злоумышленники использовали трехэтапную схему: сначала эксплуатировалась уязвимость CVE-2025-0282, затем происходило развертывание веб-шелла на языке Perl, и наконец, устанавливалось вредоносное ПО DslogdRAT.

Особую обеспокоенность вызывает тот факт, что за атаками, предположительно, стоит китайская группа кибершпионажа UNC5337. Эта группа использовала уязвимость для доставки экосистемы вредоносного ПО SPAWN. В ходе атак также применялись инструменты DRYHOOK и PHASEJAM, хотя их принадлежность конкретным хакерским группам пока не установлена.

Другая китайская хакерская группа, UNC5221, также связывается с вредоносным ПО SPAWN, хотя остается неясным, являются ли атаки с использованием DslogdRAT частью той же кампании. Специалисты отмечают появление обновленных версий SPAWN, получивших названия SPAWNCHIMERA и RESURGE. Кроме того, для распространения SPAWN использовалась еще одна уязвимость в ICS — CVE-2025-22457.

Вредоносное ПО DslogdRAT обладает впечатляющим набором возможностей. Оно инициирует контакт с внешним сервером через сокетное соединение, отправляет базовую системную информацию, может выполнять команды оболочки, загружать и скачивать файлы, а также использовать зараженный хост в качестве прокси.

Компания GreyNoise сообщила о девятикратном всплеске подозрительной активности сканирования, направленной на устройства ICS и Ivanti Pulse Secure. За последние 24 часа активность исходила от более чем 270 уникальных IP-адресов, а за последние 90 дней — от более чем 1000 уникальных IP-адресов. Из них 255 IP-адресов классифицированы как вредоносные (использующие выходные узлы TOR), а 643 IP-адреса отмечены как подозрительные (связанные с малоизвестными хостинг-провайдерами).

Основными источниками атак являются США, Германия и Нидерланды. Эксперты предполагают, что наблюдаемая активность может указывать на скоординированную разведку перед будущими масштабными атаками.

Случай с эксплуатацией уязвимости CVE-2025-0282 подчеркивает важность своевременного обновления программного обеспечения и реализации многоуровневой защиты информационных систем. Учитывая продолжающуюся активность хакерских групп, организациям рекомендуется усилить мониторинг сетевой активности и внедрить дополнительные меры безопасности для защиты от подобных атак.

Тот факт, что за атаками стоят предположительно китайские группы кибершпионажа, указывает на геополитический аспект инцидентов. Японские организации, по всей видимости, стали мишенью целенаправленной кампании, имеющей стратегические цели.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка