🚨 نفوذ فعال هکرهای چینی از طریق آسیبپذیری جدید در Ivanti VPN برای استقرار بدافزار
پژوهشگران امنیتی از شناسایی یک آسیبپذیری بحرانی در دستگاههای VPN محصول Ivanti Connect Secure (ICS) خبر دادهاند که بهطور فعال توسط مهاجمان وابسته به چین مورد سوءاستفاده قرار گرفته است.
🔍 جزئیات آسیبپذیری:
-
شناسه: CVE-2025-22457
-
نوع: بافر اورفلو (Buffer Overflow)
-
نسخههای آسیبپذیر: Ivanti ICS نسخه ۲۲.7R2.5 و پایینتر
-
ریسک: اجرای کد از راه دور (RCE)
📅 شواهد نشان میدهد که بهرهبرداری از این آسیبپذیری از اواسط مارس ۲۰۲۵ آغاز شده و مهاجمان از آن برای استقرار بدافزارهای پیشرفته با اهداف جاسوسی استفاده کردهاند.
👥 این حمله به گروه UNC5221 نسبت داده شده است — یک گروه تهدید دائمی (APT) با منشأ مشکوک به چین که از سال ۲۰۲۳ به استفاده از آسیبپذیریهای روز صفر (zero-day) در دستگاههای لبه معروف است.
این گروه مهارت بالایی در مهندسی معکوس وصلههای امنیتی دارد و به نظر میرسد برای این حمله، وصله امنیتی نسخه ۲۲.7R2.6 منتشرشده در فوریه ۲۰۲۵ را مورد بررسی قرار داده است.
🧰 ابزارهای بدافزاری استفادهشده:
UNC5221 در این عملیات از مجموعهای پیچیده از ابزارها استفاده میکند:
-
TRAILBLAZE: دراپر بسیار سبک و غیردیسکی که با syscallهای خام در زبان C نوشته شده است.
-
BRUSHFIRE: backdoor غیرفعال که با hooking در تابع
SSL_read
دادههای رمزنگاریشده را بررسی میکند. -
SPAWN: مجموعه بدافزارهای مستندشده قبلی این گروه.
🛠️ روال حمله:
-
استقرار یک shell script اولیه در دستگاه قربانی
-
اجرای دراپر TRAILBLAZE بهصورت درونحافظهای
-
تزریق backdoor BRUSHFIRE در فرآیند
/home/bin/web
-
استفاده از فایلهای موقت در
/tmp/
برای ذخیره PID، memory map، base address و بدافزارها -
استفاده از hooking در تابع
SSL_read
برای تحلیل ترافیک رمزنگاریشده و اجرای shellcode در صورت تشخیص رشتههای trigger خاص
🎯 BRUSHFIRE بدون نوشتن هیچ فایل مخربی روی دیسک، بهصورت کاملاً پنهان در حافظه اجرا میشود و ارتباط با سرورهای فرماندهی (C2) را از طریق SSL_write
برقرار میکند.
⚠️ توصیه امنیتی:
-
بهروزرسانی فوری دستگاههای Ivanti Connect Secure به نسخه ۲۲.7R2.6 یا بالاتر
-
استفاده از ابزار Integrity Checker Tool برای بررسی وجود فعالیتهای مشکوک یا آلودگی
🔐 این حمله بیانگر تغییر تاکتیکهای UNC5221 است که اکنون علاوه بر آسیبپذیریهای صفر روز، از آسیبپذیریهای روز n (n-day) نیز استفاده میکند — تهدیدی جدی برای زیرساختهای حیاتی در سطح جهانی.
یک نظر