出典: Wavebreakmedia Ltd. via Alamy Stock Photo
今月初めに2つのIvantiゼロデイ脆弱性を悪用した脅威アクターは、他のエッジデバイスに対する以前のゼロデイ攻撃の背後にいました。
Ivantiは先週、Endpoint Manager Mobile (EPMM) VPN製品の2つの脆弱性がリモートコード実行(RCE)攻撃のために連鎖されていたことを明らかにしました。これらの欠陥には、中程度の深刻度の認証バイパス脆弱性であるCVE-2025-4427と、EPMMにおける高深刻度のRCE脆弱性であるCVE-2025-4428が含まれています。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は月曜日にこれら2つのCVEを既知の悪用脆弱性カタログに追加しました。Wizの研究者たちは火曜日にブログ投稿を公開し、Ivantiの脆弱性に対する継続的な悪用活動を警告し、特にPalo Alto Networksのファイアウォールに対する攻撃との関連を詳述しました。
脅威活動のパターンは企業に対するリスクを高め、エッジデバイスがさまざまな脅威アクターにとって依然として人気で利益を生むターゲットであることをさらに示しています。
ゼロデイ攻撃の関連性
Wizは5月16日から2つのIvantiの欠陥に対する悪用活動を観察しました。クラウドセキュリティベンダーは、watchTowrやProject Discoveryなどのいくつかのソースからの概念実証(PoC)エクスプロイトの公開と一致していると述べました。
関連:Bumblebeeマルウェア、トロイの木馬化されたVMwareユーティリティを介して飛行
さらに重要なのは、Wizの研究者Merav Bar、Shahar Dorfman、Gili TikochinskiがIvantiのエクスプロイトと他の攻撃の類似点を発見したことです。例えば、彼らはコマンド&コントロール(C2)に使用されたIPアドレス77.221.158[.]154が過去の攻撃で使用されたことを発見しました。
“このIPアドレスは、同様に露出したアプライアンスをターゲットにした複数の以前のキャンペーンで観察されました。これは、数ヶ月前にPAN-OSの脆弱性(CVE-2024-0012 & CVE-2024-9474)のエクスプロイトに関する私たち自身の研究によって明らかになりました。”と研究者たちは書いています。PAN-OSはPalo Altoの次世代ファイアウォールを動かすソフトウェアです。
昨年11月に公開された2つのPAN-OSゼロデイ脆弱性は野生で悪用されました。その時、Wizは指摘しましたが、攻撃はクラウド環境の仮想PAN-OSデバイスを侵害し、11月19日にPoCエクスプロイトが公開された後、攻撃は「劇的に」エスカレートしました。そして、複数のインスタンスで、Wizは悪意のある活動を同じIPアドレス77.221.158[.]154に追跡しました。
Wizの研究者たちは、IPアドレスに関連付けられたデジタル証明書が2024年11月以来変更されていないと述べています。”この継続性は、同じアクターがPAN-OSとIvanti EPMMアプライアンスの両方を機会的にターゲットにしていると結論付ける理由となります。”と彼らは書いています。
関連:Coinbaseが脅迫され、ハッカーに関する情報に2000万ドルを提供
Tikochinskiは、WizがIvantiでのポストエクスプロイト活動を積極的に調査しており、これまでのところランサムウェアやデータの流出は検出されていないと述べています。しかし、彼は証拠がWizが観察した両方のゼロデイ攻撃の背後に単一の脅威アクターがいることを示していると言います。
“異なるキャンペーンを同じアクターに結びつけることができましたが、このアクターを特定の既知のグループや国家の敵対者に結びつけることはできませんでした。”とTikochinskiは言います。
重複する脅威活動
Wizの研究者たちは、最近のIvantiゼロデイ攻撃で、脅威アクターがSliverというC2フレームワークを使用していることを発見しました。これは、レッドチームやサイバー犯罪者の間で人気があります。
以前のPAN-OSゼロデイ攻撃のキャンペーンでは、Wizは脅威アクターがSliverインプラントを展開し、同じIPアドレスにC2ビーコンを設定したことを発見しました。同社はまた、Palo Alto Networksのファイアウォールが悪意のあるWebシェル、XMRig暗号通貨マイナー、および中国支援の脅威グループDaggerFly、別名Evasive Pandaに接続されたLinuxインプラントに感染していることを発見しました。
その接続にもかかわらず、WizはPAN-OS攻撃をDaggerFlyや他の特定の脅威グループに帰属させませんでした。
Arctic Wolfも研究を発表しました2024年11月にPAN-OSゼロデイの悪用に関する研究を発表し、それを機会的な脅威アクターに帰属させました。”このキャンペーンでは、デバイスの構成と資格情報の流出、コインマイナー、ボットネットマルウェア、PHPウェブシェル、C2フレームワークを含むさまざまなペイロードの展開を観察しました。”とArctic Wolf Labsの研究者たちはブログ投稿で書いています。
関連:トルコのAPTがチャットアプリのゼロデイを悪用してイラクのクルド人をスパイ
Arctic Wolf LabsはDark Readingに声明で、2024年11月の攻撃で観察された活動は、ゼロデイ脆弱性を利用するために急いでいるいくつかの異なる無関係な脅威アクターによるものである可能性が高いと述べました。
“11月に観察されたIPアドレスの1つ(77.221.158[.]154)は、ファイアウォールアプライアンスに対するランサムウェアの展開や脆弱性の悪用を含む脅威活動で一般的に観察されるロシアのプロバイダーにホストされています。”とArctic Wolf Labsは声明で述べました。”このプロバイダーと違法活動との関連を指摘する他の研究者もおり、彼らの創設者の何人かは以前にダークウェブ市場への関与で逮捕されていました。”
IPアドレスのホスティングプロバイダーは、さまざまなソースによってAeza International LTDとしてリストされており、英国に本社を置いています。しかし、Arctic Wolf Labsが指摘したように、同社はいくつかの組織によって脅威活動に関与しているとされており、CEOは先月サイバー犯罪と麻薬密売の容疑で逮捕されました。
Dark Readingはコメントを求めてAezaに連絡しましたが、プレス時点では同社からの返答はありませんでした。
Arctic Wolf Labsはまた、両方のエクスプロイトキャンペーンの重要な共通点の1つは、脆弱性に対するPoCエクスプロイトコードが公開されており、そのエクスプロイトが脅威活動で使用されたことだと強調しました。おそらく修正なしで使用されたと考えられます。
“これらのキャンペーンで観察された活動パターンは、これらの脅威アクターが脆弱性の公開と影響を受けたベンダーからのパッチの適用の間の時間差を利用しようとしていることを示唆しています。”とArctic Wolf Labsは述べました。”これは、ファイアウォール、VPNゲートウェイ、その他のソフトウェアなどのエッジデバイスの脆弱性に関する最新情報を維持することの重要性を強調しています。エッジデバイスの脆弱性に対する注目は今後も続くと予想しています。”
WizはIvantiの顧客に対し、EPMMバージョン11.12.0.5、12.3.0.2、12.4.0.2、または12.5.0.1にアップグレードし、インターネットに接続されたアプライアンスを優先するよう推奨しました。同社はまた、パッチが適用されるまで、すべてのEPMMエンドポイントに対してネットワークレベルの制限を実施するよう顧客に促しました。
企業はまた、ネットワーク上でのSliver活動を監視し、77.221.158[.]154からのトラフィックをブロックするべきです。