В декабре 2024 года японские организации подверглись серии кибератак, в ходе которых злоумышленники эксплуатировали критическую уязвимость CVE-2025-0282 в продукте Ivanti ICS. Эта брешь в безопасности позволяла осуществлять удаленное выполнение кода без аутентификации, что открывало широкие возможности для атакующих. Компания Ivanti устранила уязвимость в начале января 2025 года, однако к этому моменту она уже активно использовалась как zero-day.
Исследователь из JPCERT/CC Юма Масубучи опубликовал детальный отчет, раскрывающий механику атак. Согласно его данным, злоумышленники использовали трехэтапную схему: сначала эксплуатировалась уязвимость CVE-2025-0282, затем происходило развертывание веб-шелла на языке Perl, и наконец, устанавливалось вредоносное ПО DslogdRAT.
Особую обеспокоенность вызывает тот факт, что за атаками, предположительно, стоит китайская группа кибершпионажа UNC5337. Эта группа использовала уязвимость для доставки экосистемы вредоносного ПО SPAWN. В ходе атак также применялись инструменты DRYHOOK и PHASEJAM, хотя их принадлежность конкретным хакерским группам пока не установлена.
Другая китайская хакерская группа, UNC5221, также связывается с вредоносным ПО SPAWN, хотя остается неясным, являются ли атаки с использованием DslogdRAT частью той же кампании. Специалисты отмечают появление обновленных версий SPAWN, получивших названия SPAWNCHIMERA и RESURGE. Кроме того, для распространения SPAWN использовалась еще одна уязвимость в ICS — CVE-2025-22457.
Вредоносное ПО DslogdRAT обладает впечатляющим набором возможностей. Оно инициирует контакт с внешним сервером через сокетное соединение, отправляет базовую системную информацию, может выполнять команды оболочки, загружать и скачивать файлы, а также использовать зараженный хост в качестве прокси.
Компания GreyNoise сообщила о девятикратном всплеске подозрительной активности сканирования, направленной на устройства ICS и Ivanti Pulse Secure. За последние 24 часа активность исходила от более чем 270 уникальных IP-адресов, а за последние 90 дней — от более чем 1000 уникальных IP-адресов. Из них 255 IP-адресов классифицированы как вредоносные (использующие выходные узлы TOR), а 643 IP-адреса отмечены как подозрительные (связанные с малоизвестными хостинг-провайдерами).
Основными источниками атак являются США, Германия и Нидерланды. Эксперты предполагают, что наблюдаемая активность может указывать на скоординированную разведку перед будущими масштабными атаками.
Случай с эксплуатацией уязвимости CVE-2025-0282 подчеркивает важность своевременного обновления программного обеспечения и реализации многоуровневой защиты информационных систем. Учитывая продолжающуюся активность хакерских групп, организациям рекомендуется усилить мониторинг сетевой активности и внедрить дополнительные меры безопасности для защиты от подобных атак.
Тот факт, что за атаками стоят предположительно китайские группы кибершпионажа, указывает на геополитический аспект инцидентов. Японские организации, по всей видимости, стали мишенью целенаправленной кампании, имеющей стратегические цели.
Изображение носит иллюстративный характер
Исследователь из JPCERT/CC Юма Масубучи опубликовал детальный отчет, раскрывающий механику атак. Согласно его данным, злоумышленники использовали трехэтапную схему: сначала эксплуатировалась уязвимость CVE-2025-0282, затем происходило развертывание веб-шелла на языке Perl, и наконец, устанавливалось вредоносное ПО DslogdRAT.
Особую обеспокоенность вызывает тот факт, что за атаками, предположительно, стоит китайская группа кибершпионажа UNC5337. Эта группа использовала уязвимость для доставки экосистемы вредоносного ПО SPAWN. В ходе атак также применялись инструменты DRYHOOK и PHASEJAM, хотя их принадлежность конкретным хакерским группам пока не установлена.
Другая китайская хакерская группа, UNC5221, также связывается с вредоносным ПО SPAWN, хотя остается неясным, являются ли атаки с использованием DslogdRAT частью той же кампании. Специалисты отмечают появление обновленных версий SPAWN, получивших названия SPAWNCHIMERA и RESURGE. Кроме того, для распространения SPAWN использовалась еще одна уязвимость в ICS — CVE-2025-22457.
Вредоносное ПО DslogdRAT обладает впечатляющим набором возможностей. Оно инициирует контакт с внешним сервером через сокетное соединение, отправляет базовую системную информацию, может выполнять команды оболочки, загружать и скачивать файлы, а также использовать зараженный хост в качестве прокси.
Компания GreyNoise сообщила о девятикратном всплеске подозрительной активности сканирования, направленной на устройства ICS и Ivanti Pulse Secure. За последние 24 часа активность исходила от более чем 270 уникальных IP-адресов, а за последние 90 дней — от более чем 1000 уникальных IP-адресов. Из них 255 IP-адресов классифицированы как вредоносные (использующие выходные узлы TOR), а 643 IP-адреса отмечены как подозрительные (связанные с малоизвестными хостинг-провайдерами).
Основными источниками атак являются США, Германия и Нидерланды. Эксперты предполагают, что наблюдаемая активность может указывать на скоординированную разведку перед будущими масштабными атаками.
Случай с эксплуатацией уязвимости CVE-2025-0282 подчеркивает важность своевременного обновления программного обеспечения и реализации многоуровневой защиты информационных систем. Учитывая продолжающуюся активность хакерских групп, организациям рекомендуется усилить мониторинг сетевой активности и внедрить дополнительные меры безопасности для защиты от подобных атак.
Тот факт, что за атаками стоят предположительно китайские группы кибершпионажа, указывает на геополитический аспект инцидентов. Японские организации, по всей видимости, стали мишенью целенаправленной кампании, имеющей стратегические цели.