Кто стоит за кибератаками на японские организации через уязвимость Ivanti ICS?

В декабре 2024 года японские организации подверглись серии кибератак, в ходе которых злоумышленники эксплуатировали критическую уязвимость CVE-2025-0282 в продукте Ivanti ICS. Эта брешь в безопасности позволяла осуществлять удаленное выполнение кода без аутентификации, что открывало широкие возможности для атакующих. Компания Ivanti устранила уязвимость в начале января 2025 года, однако к этому моменту она уже активно использовалась как zero-day.
Кто стоит за кибератаками на японские организации через уязвимость Ivanti ICS?
Изображение носит иллюстративный характер

Исследователь из JPCERT/CC Юма Масубучи опубликовал детальный отчет, раскрывающий механику атак. Согласно его данным, злоумышленники использовали трехэтапную схему: сначала эксплуатировалась уязвимость CVE-2025-0282, затем происходило развертывание веб-шелла на языке Perl, и наконец, устанавливалось вредоносное ПО DslogdRAT.

Особую обеспокоенность вызывает тот факт, что за атаками, предположительно, стоит китайская группа кибершпионажа UNC5337. Эта группа использовала уязвимость для доставки экосистемы вредоносного ПО SPAWN. В ходе атак также применялись инструменты DRYHOOK и PHASEJAM, хотя их принадлежность конкретным хакерским группам пока не установлена.

Другая китайская хакерская группа, UNC5221, также связывается с вредоносным ПО SPAWN, хотя остается неясным, являются ли атаки с использованием DslogdRAT частью той же кампании. Специалисты отмечают появление обновленных версий SPAWN, получивших названия SPAWNCHIMERA и RESURGE. Кроме того, для распространения SPAWN использовалась еще одна уязвимость в ICS — CVE-2025-22457.

Вредоносное ПО DslogdRAT обладает впечатляющим набором возможностей. Оно инициирует контакт с внешним сервером через сокетное соединение, отправляет базовую системную информацию, может выполнять команды оболочки, загружать и скачивать файлы, а также использовать зараженный хост в качестве прокси.

Компания GreyNoise сообщила о девятикратном всплеске подозрительной активности сканирования, направленной на устройства ICS и Ivanti Pulse Secure. За последние 24 часа активность исходила от более чем 270 уникальных IP-адресов, а за последние 90 дней — от более чем 1000 уникальных IP-адресов. Из них 255 IP-адресов классифицированы как вредоносные (использующие выходные узлы TOR), а 643 IP-адреса отмечены как подозрительные (связанные с малоизвестными хостинг-провайдерами).

Основными источниками атак являются США, Германия и Нидерланды. Эксперты предполагают, что наблюдаемая активность может указывать на скоординированную разведку перед будущими масштабными атаками.

Случай с эксплуатацией уязвимости CVE-2025-0282 подчеркивает важность своевременного обновления программного обеспечения и реализации многоуровневой защиты информационных систем. Учитывая продолжающуюся активность хакерских групп, организациям рекомендуется усилить мониторинг сетевой активности и внедрить дополнительные меры безопасности для защиты от подобных атак.

Тот факт, что за атаками стоят предположительно китайские группы кибершпионажа, указывает на геополитический аспект инцидентов. Японские организации, по всей видимости, стали мишенью целенаправленной кампании, имеющей стратегические цели.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка