Ivanti のゼロデイ脆弱性 CVE-2025-0282 が標的:SPAWNCHIMERA という高度なマルウェア

SPAWNCHIMERA: New Malware Exploits Ivanti Zero-Day Flaw (CVE-2025-0282)

2025/02/16 SecurityOnline — SPAWN マルウェア・ファミリーが大幅にアップグレードされ、高ステルス性のサイバー脅威 SPAWNCHIMERA として登場したことが、JPCERT/CC のサイバー・セキュリティ研究者たちにより報告された。この新たな亜種は、2025年1月に公開された Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を積極的に悪用している。この脆弱性が公開される以前において、SPAWNCHIMERA マルウェアによる攻撃が特定されたことが、彼らの戦術の大きな変化を表している。

SPAWNCHIMERA は、きわめて回避性の高いマルウェア・パッケージの中に、これまでの SPAWN 亜種で利用されてきた、複数の機能を取り込むものである。このマルウェアに取る込まれる主要コンポーネントは、SPAWNANT/SPAWNMOLE/SPAWNSNAIL などであり、運用のレジリエンスを維持しながら、複数のプロセスに対して自身を挿入していくという。

その一方で、Ivanti の脆弱性 CVE-2025-0282 は、strncpy 関数の整数オーバーフローから発生し、バッファ・オーバーフロー状態を引き起こすものだ。 この脆弱性をイニシャル感染に悪用するSPAWNCHIMERA は、自己修復メカニズムも備えているため、その後の攻撃の分析などが困難になるという。

SPAWNCHIMERA が、strncpy 関数をフックしてコピー・サイズを動的に 256 Byte に制限し、他の攻撃者やセキュリティ・スキャナーなどによる、別系統の悪用を防止していると、JPCERT/CC は強調している。

研究者たちは、「他の脅威アクターたちが、この脆弱性を、PoC を用いてスキャンして二次攻撃者として悪用を試みても、失敗する可能性が高い。SPAWNCHIMERA の開発者は、侵害したシステムに対する排他的制御の維持を目指しているようだ」と指摘している。

これまでにおいて、SPAWNMOLE コンポーネントは、SPAWNSNAIL による処理のために、悪意のトラフィックを localhost (127.0.0.1:8300) へと送信していた。しかし、現状の SPAWNCHIMERA は、それを UNIX ドメイン・ソケットに置き換えており、従来からの netstat ベースの監視ツールでは見えなくなっている。

また、以前はプレーン・テキストで保存されていた SSH 秘密鍵は、マルウェア・バイナリ内で XOR エンコードされ、必要な場合にだけ復号化される。さらに、このマルウェアは、機密のアーティファクトをディスクに書き込まなくなり、フォレンジック・トレースが減少している。それに加えて SPAWNCHIMERA は、デバッグ・メッセージを排除しているため、分析とサンドボックス検出が極めて困難になっている。

SPAWNCHIMERA はレジリエンスを考慮して設計されており、複数のステルス戦術を用いて検出を回避し、持続性を維持している。

  • プロセス・インジェクション:このマルウェアは、Web プロセスと dsmdm プロセスに自身をインジェクトして実行するが、従来のセキュリティ・アラートはトリガーされない。
  • 隠し通信チャネル:UNIX ドメイン・ソケットを悪用することで、従来のネットワーク監視ツールをバイパスする、ステルス性の高いマルウェア間通信を保証している。
  • 動的セルフ・パッチ:システムの脆弱性を変更して、外部からの干渉を防ぐ機能は、高度かつ稀な機能である。それにより、競合するサイバー犯罪者による同一システムの悪用を防ぐための、セキュリティ制御が組み込まれたマルウェアへと移行している。

SPAWNCHIMERA における、高度なステルス性/自己修復機能/UNIX ドメイン・ソケット通信の達成が示唆するのは、十分な資金力と高度なスキルを持つ脅威アクターの存在である。国家による関与は確認されていないが、その高度なレベルから、APT の関与が懸念される。

Ivanti 製品群の脆弱性 CVE-2025-0282 が、SPAWNCHIMERA マルウェアに悪用されているとのことです。この脆弱性に関する第一報である、2025/01/08 の「Ivanti 製品群の脆弱性 CVE-2025-0282/0283 が FIX:Connect Secure の悪用を観測」にもある通り、CVE-2025-0282情報公開時に既に悪用が確認されています。ご利用のチームは、十分に ご注意ください。

なお、SPAWN に関しては、以下の関連記事でも触れられています。よろしければ、よろしければ、カテゴリ Malwareと併せて、ご参照ください。

2024/04/05:Ivanti の CVE-2024-21894:日本のインスタンスは?
2024/04/05:Ivanti の脆弱性:中国系のハッカーが新たな TTP を開発