قام المتسللون الذين يستغلون ثغرة Ivanti Connect Secure الحرجة التي تم الكشف عنها أمس بتثبيت برامج ضارة جديدة تسمى “Dryhook” و “Phasejam” على أجهزة VPN المخترقة والتي لا ترتبط حاليًا بأي مجموعة تهديد.
المشكلة الأمنية، التي يتم تتبعها الآن باسم CVE-2025-0282، هي مشكلة”https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-connect-secure-flaw-used-in-zero-day-attacks/” الهدف=”_blank” rel=”nofollow noopener”> تجاوز سعة المخزن المؤقت الحرج القائم على المكدسالخلل الذي يؤثر على Ivanti Connect Secure 22.7R2.5 والإصدارات الأقدم، وIvanti Policy Secure 22.7R1.2 والإصدارات الأقدم، وIvanti Neurons لبوابات ZTA 22.7R2.3 والإصدارات الأقدم.
على الرغم من أن الخلل له تأثير واسع النطاق، فقد حدد البائع أن الهجمات تمت ملاحظتها فقط ضد أجهزة Connect Secure مع الإشارة أيضًا إلى أن عدد العملاء المتأثرين “محدود”.
وفقًا لشركة الأمن السيبراني Mandiant (التي أصبحت الآن جزءًا من Google Cloud)، بدأ المهاجمون في الاستفادة من الثغرة الأمنية منذ منتصف ديسمبر واستخدموا مجموعة أدوات Spawn الضارة المخصصة.
يرتبط الإطار الخبيث عادةً بعملية تجسس مشتبه بها مرتبطة بالصين والتي تتتبعها الشركة باسم UNC5337 ومن المحتمل أن تكون جزءًا من مجموعة أكبر يتم تتبعها باسم UNC5221.
ومع ذلك، فإن عائلات البرامج الضارة “Dryhook” و”Phasejam” غير المعروفة سابقًا والتي تم العثور عليها في بعض الأجهزة المخترقة لا تنسب إلى أي مجموعة تهديد في الوقت الحالي.
سلسلة الهجوم والبرامج الضارة الجديدة
مانديانت”http://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day” الهدف=”_blank” rel=”nofollow noopener”> تقريريعلم أن المهاجم أرسل طلبات HTTP إلى عناوين URL محددة لتحديد إصدارات جهاز ICS. ولإخفاء المصدر، قام جهة التهديد بتمرير الطلبات عبر موفري VPS أو شبكات Tor.
بعد ذلك، قاموا باستغلال CVE-2025-0282 للوصول الأولي، وتعطيل حماية SELinux، وتعديل قواعد iptables لمنع إعادة توجيه سجل النظام، وإعادة تحميل محرك الأقراص كـ “قراءة وكتابة” للسماح بنشر البرامج الضارة.
يقول الباحثون إن المتسللين أطلقوا برنامج Phasejam dropper، الذي ينشر غلاف الويب للمكونات المخترقة مثل “getComponent.cgi” و”restAuth.cgi”، بينما يقوم أيضًا بالكتابة فوق ملفات النظام للسماح بتنفيذ الأوامر.
المصدر: مانديانت
وقام المتسللون أيضًا بتعديل البرنامج النصي للترقية “DSUpgrade.pm” لمنع الترقيات الحقيقية ومحاكاة عملية ترقية زائفة، بحيث تستمر البرامج الضارة في النظام.
يقوم المهاجمون أيضًا بتثبيت أدوات “Spawn” مثل Spawnmole (نفق)، وSpawnsnail (SSH backdoor)، وSpawnsloth (أداة مساعدة للتلاعب بالسجلات)، والتي، على عكس صدفة الويب Phasejam، يمكن أن تستمر عبر ترقيات النظام.
حاول كل من برنامج Spawn الضار والتهديد الجديد التهرب من أداة التحقق من النزاهة (ICT) الخاصة بـ Ivanti عن طريق إعادة حساب تجزئات ملف SHA256 للملفات الضارة حتى اجتازوا عملية التحقق.
“تحرص SPAWNANT على التحايل على تكنولوجيا المعلومات والاتصالات عن طريق إعادة حساب تجزئة SHA256 لأي ملفات تم تعديلها بشكل ضار. بمجرد اكتمال التعديلات المناسبة، يقوم SPAWNANT بإنشاء زوج مفاتيح RSA جديد للتوقيع على البيان المعدل.” -“https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day” الهدف=”_blank” rel=”nofollow noopener”> مانديانت
يبدو أن هدف المتسللين هو سرقة قواعد البيانات الموجودة في الجهاز والتي تحتوي عادةً على معلومات حساسة تتعلق بالبرامج الضارة “VPN sessions, session cookies, API keys, certificates, and credential material.”
“Mandiant has observed the threat actor archiving the database cache on a compromised appliance and staging the archived data in a directory served by the public-facing web server to enable exfiltration of the database,” شرح الباحثين.
وأخيرًا، تستخدم الجهات الفاعلة في التهديد قطعة جديدة من البرامج الضارة تسمى Dryhook لالتقاط أسماء المستخدمين وكلمات المرور أثناء عمليات المصادقة القياسية وتخزينها في نموذج مشفر باستخدام Base64 لاسترجاعها في المستقبل.
المصدر: مانديانت
تدابير الدفاع
يُنصح مسؤولو النظام بإجراء إعادة ضبط المصنع والترقية إلى Ivanti Connect Secure 22.7.R2.5، حتى لو لم تجد عمليات فحص تكنولوجيا المعلومات والاتصالات الداخلية والخارجية أي علامات على وجود نشاط ضار.
شاركت Mandiant أيضًا قائمة بمؤشرات التسوية (IoCs) جنبًا إلى جنب مع قواعد YARA للمساعدة في اكتشاف الأنشطة المشبوهة المرتبطة بهذه الحملة.
وفقا لباحث ماكنيكا”https://x.com/nekono_naha/status/1877296492072914944″ الهدف=”_blank” rel=”nofollow noopener”> يوتاكا سيجياما، تم الكشف عن أكثر من 3600 جهاز ICS على شبكة الإنترنت العامة عندما أصدرت شركة Ivanti تصحيحًا للثغرة الأمنية.
وقال الباحث لـ BleepingComputer أن العدد انخفض الآن إلى حوالي 2800، لذلك لا يزال هناك سطح هجوم كبير لا يزال معرضًا للهجمات.