サイバーセキュリティ研究者は、Ivanti Connect Secure (ICS) の今ではパッチが適用されたセキュリティ欠陥を悪用した後にインストールされるDslogdRATという新しいマルウェアについて警告しています。
このマルウェアとウェブシェルは、「2024年12月頃に日本の組織に対する攻撃中に、その時点でのゼロデイ脆弱性CVE-2025-0282を悪用してインストールされた」とJPCERT/CCの研究者、増渕悠真氏が報告で木曜日に述べました。
CVE-2025-0282は、認証されていないリモートコード実行を可能にするICSの重大なセキュリティ欠陥を指します。これは2025年1月初旬にIvantiによって対処されました。
しかし、この欠陥はUNC5337と呼ばれる中国系のサイバースパイグループによってゼロデイとして悪用され、SPAWNマルウェアのエコシステムやDRYHOOK、PHASEJAMといった他のツールを配信しました。後者の2つのマルウェアの展開は、既知の脅威アクターには帰属されていません。
その後、JPCERT/CCと米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、同じ脆弱性を利用してSPAWNの更新版であるSPAWNCHIMERAとRESURGEを配信することを明らかにしました。
今月初め、Google傘下のMandiantも明らかにしましたが、ICSの別のセキュリティ欠陥(CVE-2025-22457)が武器化され、UNC5221と呼ばれる別の中国のハッキンググループに帰属されるSPAWNを配信しています。
JPCERT/CCは、DslogdRATを使用した攻撃がUNC5221が運営するSPAWNマルウェアファミリーを含む同じキャンペーンの一部であるかどうかは現在不明であると述べています。
機関が概説した攻撃シーケンスは、CVE-2025-0282を利用してPerlウェブシェルを展開し、それがDslogdRATを含む追加のペイロードを展開するための導管として機能することを含みます。
DslogdRATは、その役割として、基本的なシステム情報を送信するためにソケット接続を介して外部サーバーと接触し、シェルコマンドの実行、ファイルのアップロード/ダウンロード、および感染したホストをプロキシとして使用することを可能にするさらなる指示を待ちます。
この開示は、脅威インテリジェンス企業GreyNoiseが、過去24時間で270以上のユニークなIPアドレスおよび過去90日間で1,000以上のユニークなIPアドレスからICSおよびIvanti Pulse Secure (IPS) アプライアンスをターゲットにした「9倍のスパイクを示す疑わしいスキャン活動」を警告した際に行われました。
これらのうち255のIPアドレスは悪意があると分類され、643は疑わしいとされています。悪意のあるIPはTOR出口ノードを使用していることが観察され、疑わしいIPはあまり知られていないホスティングプロバイダーにリンクされています。アメリカ、ドイツ、オランダが上位3つの発信国です。
「この急増は、将来の悪用に向けた協調的な偵察と準備を示している可能性があります」と同社は述べています。「このスキャン活動に特定のCVEがまだ結びつけられていないが、このようなスパイクはしばしば積極的な悪用に先行します。」