Mandiantの研究者によると、中国の国家支援の脅威アクターが、新たに公表された重大なIvantiの脆弱性を積極的に悪用している。
疑われるスパイ活動アクターはCVE-2025-22457を標的にしており、これは攻撃者がリモートコード実行を達成し得るバッファオーバーフローの脆弱性である。
研究者らはまた、悪用に成功した後、UNC5221として追跡されている同グループが、新たに特定された2つのマルウェアファミリーを展開していることも確認した。
CVE-2025-22457のパッチは、2025年2月11日にIvanti Connect Secure(ICS)バージョン22.7R2.6でリリースされた。このバッファオーバーフローの欠陥は文字数の余地が限られていたため、同社は当初、低リスクのサービス拒否(DoS)脆弱性だと考えていた。
しかしMandiantは、UNC5221が22.7R2.5およびそれ以前のバージョンを悪用してリモートコード実行を達成する方法を見つけ出したと指摘した。
この欠陥には、重大(Critical)のCVSSスコア9.0が付与されている。
実環境(wild)での当該脆弱性の積極的な悪用は、2025年3月中旬以降に観測されている。
MandiantとIvantiは、22.7R2.6以下のバージョンを利用しているすべてのISC顧客に対し、以前にリリースされたパッチをできるだけ早く適用するよう促した。
侵害後の顕著な活動
中国のアクターは、CVE-2025-22457の悪用に成功した後、顕著な侵害後活動を実施している。
これには、新たに特定された2つのメモリ常駐型マルウェアファミリーの展開が含まれる。
そのうち1つ目はTrailblazeと呼ばれる最小限のインドロッパーで、バックドア「Brushfire」を注入するために使用される。Brushfireは、SSL関数をフックしてコマンドを受信する受動的なバックドアである。
メモリ常駐型マルウェアはコンピュータのシステムメモリに直接書き込まれ、感染の兆候がほとんど見られないため、特定が非常に困難である。
Trailblazeは、多段階のシェルスクリプト・ドロッパーによって実行される。
- Spawnsloth:Spawnsnailバックドアに結び付いたログ改ざんコンポーネントで、 dslogserver プロセスを標的にしてローカルのログ記録とリモートsyslog転送の両方を無効化する
- Spawnsnare:Linuxシステムを標的とするユーティリティで、コマンドラインツールを必要とせずに、非圧縮のLinuxカーネルイメージ(vmlinux)をファイルに抽出し、AESで暗号化できる
- Spawnwave:Spawnantの進化版で、Spawnマルウェア・エコシステムの他メンバーの機能を組み合わせたもの
Mandiantは、この活動は攻撃者が侵害されたアプライアンス上で永続的なバックドアアクセスを確立できるように設計されており、認証情報の窃取、さらなるネットワーク侵入、データの持ち出しを可能にする恐れがあると警告した。
エッジデバイスを狙い続ける中国の標的化
UNC5221は以前にも、他のIvanti製品の脆弱性に対するゼロデイ悪用や、NetScaler ADCおよびNetScaler Gatewayアプライアンスに影響する欠陥の悪用を行っていることが観測されている。
これにより、このスパイ活動アクターは作戦の中で幅広い国や業種を標的にできている。
この活動は、中国と関係するスパイグループがエッジデバイスを標的にする、より広範な作戦の一部であり、重要インフラや政府部門を含むさまざまな組織へのアクセスを可能にしている。2024年には、こうしたグループがこの目的のためにIvantiの脆弱性を大規模に悪用した。
MandiantのCTOであるCharles Carmakal氏は次のように警告した。「UNC5221による今回の最新の活動は、中国と関係するスパイグループが世界的にエッジデバイスを継続して標的にしていることを浮き彫りにしている。これらのアクターは、セキュリティ脆弱性の調査を続け、EDRソリューションをサポートしないエンタープライズシステム向けにカスタムマルウェアを開発し続けるだろう。中国と関係するスパイアクターによるサイバー侵入活動の速度は増し続けており、彼らはかつてないほど巧妙になっている。」
新たなエクスプロイトに対するIvantiの対応
Infosecurityに対し、IvantiのCSOであるDaniel Spicer氏は、増加するエッジデバイスへの標的化に対処するために同社が行っている取り組みを強調した。
同氏は次のように述べた。「ネットワークセキュリティデバイス、とりわけエッジデバイスは、高度で非常に執拗な脅威アクターの注目対象であり、Ivantiは、防御側が環境を保護するために可能な限りのあらゆる手段を講じられるよう、情報提供に尽力している。そのために、顧客へ直接アドバイザリを提供することに加え、IvantiはパートナーであるMandiantと緊密に連携し、今回最近対処された脆弱性に関する追加情報を提供した。」
Spicer氏はさらに次のように付け加えた。「重要な点として、この脆弱性は2025年2月11日にリリースされたICS 22.7R2.6で修正されており、Ivantiが提供するガイダンスに従ってアプライアンス上でサポート対象バージョンを運用している顧客は、リスクが大幅に低減されている。IvantiのIntegrity Checker Tool(ICT)は、ICS 9.X(サポート終了)および22.7R2.5以前のバージョンを実行している限られた数の顧客において、侵害の可能性を検出することに成功している。」
この記事は、Ivantiの声明を含めるため、2025年4月4日(金)15:15(BST)に更新された
翻訳元: https://www.infosecurity-magazine.com/news/chinese-state-hackers-ivanti-flaw/
