Злоумышленники активно использовали критические уязвимости в продуктах Ivanti для внедрения нового загрузчика MDifyLoader и запуска атак Cobalt Strike в памяти. Эксплуатация уязвимостей CVE-2025-0282 и CVE-2025-22457 в Ivanti Connect Secure (ICS) началась ещё в декабре 2024 года, до выпуска исправлений.
CVE-2025-0282, позволяющая удалённое выполнение кода без аутентификации, была закрыта Ivanti в начале января 2025 года. Вторая уязвимость — CVE-2025-22457, связанная со стековым буферным переполнением, патчилась только в апреле 2025 года. Обе эксплуатировались как zero-day до июля 2025 года.
Основным инструментом стал загрузчик MDifyLoader, основанный на открытом проекте libPeConv. Его задача — загрузка и расшифровка вредоносной нагрузки непосредственно в память системы. MDifyLoader доставлял зашифрованный Cobalt Strike Beacon версии 4.5, выпущенный в декабре 2021 года. Запуск Beacon в памяти затрудняет его обнаружение файловыми антивирусами.
Дополнительно атакующие развернули инструменты VShell и Fscan. VShell, написанный на Go, выполняет функции удалённого доступа (RAT) и содержит проверку системного языка — при обнаружении китайского происходит остановка работы, что указывает на тестовую среду. Сетевой сканер Fscan внедрялся через DLL side-loading с использованием загрузчика на базе FilelessRemotePE.
Первоначальное проникновение осуществлялось через уязвимости ICS. Затем злоумышленники применяли DLL side-loading для развёртывания MDifyLoader и Fscan. На этапе пост-эксплуатации проводились атаки методом перебора на серверы FTP, MS-SQL и SSH, а также эксплуатация уязвимости EternalBlue (MS17-010) для кражи учётных данных и перемещения по сети.
Для сохранения доступа создавались новые доменные учётные записи, интегрируемые в существующие группы. Вредоносное ПО регистрировалось как системная служба или задача в Планировщике заданий для автозапуска при старте системы или по триггерам событий.
По данным отчёта JPCERT/CC, опубликованного в июле 2025 года, исследователь Yuma Masubuchi зафиксировал использование тех же уязвимостей (CVE-2025-0282) для доставки вредоносов SPAWNCHIMERA и DslogdRAT ещё в апреле 2025 года. Злоумышленники неоднократно пытались запустить VShell, устанавливая новые версии при сбоях из-за проверки языка, и маскировали свои учётные записи под легитимную активность для длительного присутствия в сетях.
Изображение носит иллюстративный характер
CVE-2025-0282, позволяющая удалённое выполнение кода без аутентификации, была закрыта Ivanti в начале января 2025 года. Вторая уязвимость — CVE-2025-22457, связанная со стековым буферным переполнением, патчилась только в апреле 2025 года. Обе эксплуатировались как zero-day до июля 2025 года.
Основным инструментом стал загрузчик MDifyLoader, основанный на открытом проекте libPeConv. Его задача — загрузка и расшифровка вредоносной нагрузки непосредственно в память системы. MDifyLoader доставлял зашифрованный Cobalt Strike Beacon версии 4.5, выпущенный в декабре 2021 года. Запуск Beacon в памяти затрудняет его обнаружение файловыми антивирусами.
Дополнительно атакующие развернули инструменты VShell и Fscan. VShell, написанный на Go, выполняет функции удалённого доступа (RAT) и содержит проверку системного языка — при обнаружении китайского происходит остановка работы, что указывает на тестовую среду. Сетевой сканер Fscan внедрялся через DLL side-loading с использованием загрузчика на базе FilelessRemotePE.
Первоначальное проникновение осуществлялось через уязвимости ICS. Затем злоумышленники применяли DLL side-loading для развёртывания MDifyLoader и Fscan. На этапе пост-эксплуатации проводились атаки методом перебора на серверы FTP, MS-SQL и SSH, а также эксплуатация уязвимости EternalBlue (MS17-010) для кражи учётных данных и перемещения по сети.
Для сохранения доступа создавались новые доменные учётные записи, интегрируемые в существующие группы. Вредоносное ПО регистрировалось как системная служба или задача в Планировщике заданий для автозапуска при старте системы или по триггерам событий.
По данным отчёта JPCERT/CC, опубликованного в июле 2025 года, исследователь Yuma Masubuchi зафиксировал использование тех же уязвимостей (CVE-2025-0282) для доставки вредоносов SPAWNCHIMERA и DslogdRAT ещё в апреле 2025 года. Злоумышленники неоднократно пытались запустить VShell, устанавливая новые версии при сбоях из-за проверки языка, и маскировали свои учётные записи под легитимную активность для длительного присутствия в сетях.
