Hackers Exploit Ivanti Connect Secure 0-Day to Deploy DslogdRAT and Web Shell
2025/04/24 gbhackers — Ivanti Connect Secure のゼロデイ脆弱性 CVE-2025-0282 を悪用する脅威アクターが、Web シェルや DslogdRAT などの、高度な悪意のツールを展開している。JPCERT/CC の詳細な分析によると、これらの攻撃が浮き彫りにするのは、サイバー犯罪者たちに頻繁に標的化される、Ivanti 製品における執拗かつ最新のリスクである。
このような、未修正の脆弱性を標的とするマルウェアの展開が示唆するのは、タイムリーな更新と詳細な監視の必要性であり、それにおり、組織における潜在的な侵害のリスクが軽減される。
この攻撃チェーンは、Perl で記述された Web シェルのインストールから始まる。それは、受信した HTTP リクエストを処理する、CGI スクリプトとして動作する。
このスクリプトは、Cookie ヘッダー内のハードコードされたトークン (DSAUTOKEN=af95380019083db5) を詳細にチェックし、その後に、リクエスト・パラメータを介して受信した任意のコマンドを実行する。
DslogdRAT と Web Shell の動作に関する技術的な詳細
このバックドアは、初歩的ながらも効果的であり、高度な機能を備えるモジュール型 DslogdRAT を展開するための、入り口として機能したと考えられている。
そそて DslogdRAT が実行されると、プライマリ・プロセスを生成が始まる。このプライマリ・プロセスは、子プロセスを作成した直後に終了する。その後に、この子プロセスは、キー 0x63 を用いる単純な XOR 演算により、ハードコードされたコンフィ技・データをデコードする。
このコンフィグにより、マルウェアの動作時間帯が、午前8時〜午後8時に指定される。それは、通常の業務活動に紛れ込み、検出を回避するための手法だと考えられる。
2つ目の子プロセスは、Command and Control (C2) サーバとの、ソケット・ベース通信の確立といったコア機能を処理するものだ。この C2 サーバでは、0x01 〜 0x07 までの 7-Byte の XOR 演算により、データがエンコードされる。
このマルウェアは、最初の通信時にホスト固有の情報を送信した後に、ファイルのアップロード/ダウンロードや、シェルコマンドの実行、プロキシ操作などのコマンドをサポートするという、永続的なアクセスのための多用途ツールとなっている。
さらに脅威を複雑化させるのは、2025年4月に CISA と Google が文書化したマルウェア SPAWNSNARE が、侵害を受けたシステムに存在していたことである。
これらの攻撃が、SPAWN ファミリーに関連する UNC5221 グループと、ダイレクトに結びつくのかどうかは不明だが、この重複が示唆するのは、Ivanti の脆弱性を悪用する広範なキャンペーンの可能性となる。
JPCERT/CC は、脆弱性 CVE-2025-22457 に関する追加アラートも報告しており、依然として Ivanti Connect Secure が、攻撃者にとって高価値の標的であることを示している。
DslogdRAT のエンコードされたコンフィグ/通信パターン/pthread ライブラリを用いるマルチスレッド・アーキテクチャが示すのは、感染させたシステム上でステルス性と回復力を維持するための意図的な設計である。
ユーザー組織に対して強く推奨されるのは、JPCERT/CC の追加情報に示される、この C2 サーバの詳細やファイル・ハッシュなどの侵害指標の確認と、これらの脅威に対する効果的な検知/対応である。
Ivanti のインフラに対する攻撃は、今後も継続すると予想されるため、この種の高度な攻撃から重要システムを守る上では、パッチ管理/ネットワーク監視/インシデント対応計画などのプロアクティブな対策が不可欠となる。
文中にもあるように、この何年かにわたり Ivanti は、もっとも標的化されてきたベンダーかもしれませんね。そして DslogdRAT ですが、CISA と Google が文書化したという SPAWNSNARE にも関連しているのでしょうか?こうした脅威に対抗していく防御側ですが、JPCERT/CC が頑張ってくれるのが嬉しいですね。
IoT OT Security News 
You must be logged in to post a comment.