SPAWNCHIMERA Malware Exploits Ivanti Buffer Overflow Vulnerability by Applying a Critical Fix
2025/02/21 gbhackers — SPAWNCHIMERA マルウェア・ファミリが、Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を悪用していることが、最近の JPCERT/CC の調査により確認されている。
この脆弱性は、2025年1月に情報が公開されたものだが、それ以前の 2024年12月下旬から積極的な悪用が始まっていた。SPAWN ファミリから進化した SPAWNCHIMERA は、複数の高度な機能を統合することで、その全体的な機能を強化し、検出を回避している。
脆弱性 CVE-2025-0282 の動的な修正と悪用
SPAWNCHIMERA は、脆弱性 CVE-2025-0282 にパッチを当てるという、独自の機能を導入している。
このバッファ・オーバーフローの問題は、strncpy 関数の不適切な使用に起因する。この関数をフックする SPAWNCHIMERA は、コピー・サイズを 256 Byte に制限することで、この脆弱性の範囲を制限している。
この修正は、プロセス名が “web” などが入る場合といった、特定の条件が満たされる場合だけにトリガーされる。このメカニズムにより、他の攻撃者による悪用が防止されるが、それに加えて、この脆弱性をスキャンする PoC ツールの侵入の試みもブロックされる。
プロセス間通信の変更によるステルス性の強化
このマルウェアでは、プロセス間通信方法が、ローカルポート 8300 から UNIX ドメイン・ソケットへと変更されている。
悪意のトラフィックは、隠しパスである “/home/runtime/tmp/.logsrv” を介してプロセス間でルーティングされるようになり、netstat などの標準的なネットワーク監視ツールによる検出が、きわめて困難な状況になっている
JPCERT のレポートによると、SPAWNCHIMERA が堅牢な機能を維持しながら、検出を回避することに重点を置いていることを、この変更は反映しているという。
SPAWNCHIMERA は、マルウェアサンプル自体に SSH 秘密鍵をエンコードすることで、そのアクティビティの難読性を高めている。そのためのキーは、実行時に XOR ベースの関数を介して動的にデコードされるため、フォレンジックの痕跡は最小限に抑えられる。
さらに、このマルウェアは、ハードコードされたトラフィック識別子を計算ベースのデコード関数に置き換えることで、悪意のあるトラフィックを判別している。以前のバージョンには残っていたデバッグ・メッセージも削除されたことで、分析作業は複雑になり、リバース・エンジニアリング中の検出の機会が減少している。
これらの高度な機能の統合が示すのは、さらに洗練された脅威へと SPAWNCHIMERA が進化したことだ。前述の脆弱性緩和メカニズムと、一連のエクスプロイト機能を組み合わせることで、このマルウェアは持続性を確保しながら、競合する脅威アクターの参入を妨害している。
これらの変更が浮き彫りにするのは、侵害したシステム内で確実に足場を維持するために、防御の手法を取り入れるマルウェア作成者が増えている傾向である。
Ivanti Connect Secure のユーザー組織に対して強く推奨されるのは、ベンダーが提供するパッチを迅速に適用した上で、侵害の兆候を監視することだ。
SPAWNCHIMERA のような脅威を、効果的に特定するためには、静的シグネチャだけではなく、動作分析に重点を置いた検出方法が必要になる場合がある。
マルウェア SPAWNCHIMERA には、この脆弱性を修正する機能も追加されているそうです。この機能により、別の攻撃者による脆弱性 CVE-2025-0282 の悪用の試みや、PoC の実行がブロックされる可能性があるとのことです。ご利用のチームは、十分にご注意下さい。よろしければ、以下の関連記事も、Ivanti で検索と併せて、ご参照ください。
2025/02/16:Ivanti の CVE-2025-0282 を狙う SPAWNCHIMERA
2025/01/18:Ivanti ICS の CVE-2025-0282 を狙う CL-UNK-0979
2025/01/09:CISA KEV 警告:Ivanti CS の CVE-2025-0282 を登録
IoT OT Security News 
You must be logged in to post a comment.