🚨 نفوذ فعال هکرهای چینی از طریق آسیب‌پذیری جدید در Ivanti VPN برای استقرار بدافزار

پژوهشگران امنیتی از شناسایی یک آسیب‌پذیری بحرانی در دستگاه‌های VPN محصول Ivanti Connect Secure (ICS) خبر داده‌اند که به‌طور فعال توسط مهاجمان وابسته به چین مورد سوءاستفاده قرار گرفته است.

🔍 جزئیات آسیب‌پذیری:

  • شناسه: CVE-2025-22457

  • نوع: بافر اورفلو (Buffer Overflow)

  • نسخه‌های آسیب‌پذیر: Ivanti ICS نسخه ۲۲.7R2.5 و پایین‌تر

  • ریسک: اجرای کد از راه دور (RCE)

📅 شواهد نشان می‌دهد که بهره‌برداری از این آسیب‌پذیری از اواسط مارس ۲۰۲۵ آغاز شده و مهاجمان از آن برای استقرار بدافزارهای پیشرفته با اهداف جاسوسی استفاده کرده‌اند.

👥 این حمله به گروه UNC5221 نسبت داده شده است — یک گروه تهدید دائمی (APT) با منشأ مشکوک به چین که از سال ۲۰۲۳ به استفاده از آسیب‌پذیری‌های روز صفر (zero-day) در دستگاه‌های لبه معروف است.

این گروه مهارت بالایی در مهندسی معکوس وصله‌های امنیتی دارد و به نظر می‌رسد برای این حمله، وصله امنیتی نسخه ۲۲.7R2.6 منتشرشده در فوریه ۲۰۲۵ را مورد بررسی قرار داده است.

🧰 ابزارهای بدافزاری استفاده‌شده:

UNC5221 در این عملیات از مجموعه‌ای پیچیده از ابزارها استفاده می‌کند:

  • TRAILBLAZE: دراپر بسیار سبک و غیردیسکی که با syscallهای خام در زبان C نوشته شده است.

  • BRUSHFIRE: backdoor غیرفعال که با hooking در تابع SSL_read داده‌های رمزنگاری‌شده را بررسی می‌کند.

  • SPAWN: مجموعه بدافزارهای مستندشده قبلی این گروه.

🛠️ روال حمله:

  1. استقرار یک shell script اولیه در دستگاه قربانی

  2. اجرای دراپر TRAILBLAZE به‌صورت درون‌حافظه‌ای

  3. تزریق backdoor BRUSHFIRE در فرآیند /home/bin/web

  4. استفاده از فایل‌های موقت در /tmp/ برای ذخیره PID، memory map، base address و بدافزارها

  5. استفاده از hooking در تابع SSL_read برای تحلیل ترافیک رمزنگاری‌شده و اجرای shellcode در صورت تشخیص رشته‌های trigger خاص

🎯 BRUSHFIRE بدون نوشتن هیچ فایل مخربی روی دیسک، به‌صورت کاملاً پنهان در حافظه اجرا می‌شود و ارتباط با سرورهای فرماندهی (C2) را از طریق SSL_write برقرار می‌کند.

⚠️ توصیه امنیتی:

  • به‌روزرسانی فوری دستگاه‌های Ivanti Connect Secure به نسخه ۲۲.7R2.6 یا بالاتر

  • استفاده از ابزار Integrity Checker Tool برای بررسی وجود فعالیت‌های مشکوک یا آلودگی

🔐 این حمله بیانگر تغییر تاکتیک‌های UNC5221 است که اکنون علاوه بر آسیب‌پذیری‌های صفر روز، از آسیب‌پذیری‌های روز n (n-day) نیز استفاده می‌کند — تهدیدی جدی برای زیرساخت‌های حیاتی در سطح جهانی.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

145

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *