DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本

发布于 作者:

DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本

会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03

网络安全研究人员警告称,一种名为 DslogdRAT 的新恶意软件在利用 Ivanti Connect Secure (ICS) 中现已修补的安全漏洞部署。

JPCERT/CC 研究员 Yuma Masubuchi在周四发布的一份报告中表示,该恶意软件及其 Web Shell“是在 2024 年 12 月左右针对日本组织的攻击中利用当时的零日漏洞 CVE-2025-0282 安装的” 。

CVE-2025-0282是 ICS 中的一个严重安全漏洞,可能允许未经身份验证的远程代码执行。Ivanti 已于 2025 年 1 月初修复该漏洞。

该漏洞已被一个追踪编号为 UNC5337 的网络间谍组织利用,并被用作零日漏洞武器,用于传播 SPAWN 恶意软件生态系统以及 DRYHOOK 和 PHASEJAM 等其他工具。后两种恶意软件的部署尚未被归属于任何已知的威胁组织。

JPCERT/CC 和美国网络安全和基础设施安全局 (CISA) 都披露了利用同一漏洞来提供 SPAWN 的更新版本(称为SPAWNCHIMERA和RESURGE)。

本月初,谷歌旗下的 Mandiant 安全公司称,ICS 中的另一个安全漏洞 (CVE-2025-22457) 已被用于传播 SPAWN,SPAWN 是一种恶意软件,据称是由另一个被追踪为

UNC5221 的黑客组织所为。

JPCERT/CC 表示,目前尚不清楚使用 DslogdRAT 的攻击是否属于 UNC5221 运营的 SPAWN 恶意软件家族的同一活动。

该机构概述的攻击序列包括利用 CVE-2025-0282 来部署 Perl Web Shell,然后将其作为部署其他有效载荷(包括 DslogdRAT)的管道。

就 DslogdRAT 而言,它通过套接字连接与外部服务器发起联系,以发送基本系统信息,并等待进一步的指令,以允许其执行 shell 命令、上传/下载文件以及使用受感染的主机作为代理。

此前,威胁情报公司 GreyNoise 警告称,过去 24 小时内,针对 ICS 和 Ivanti Pulse Secure (IPS) 设备的“可疑扫描活动激增 9 倍”,来自超过270 个唯一 IP 地址,过去 90 天内有超过1,000 个唯一 IP 地址。

其中,255个IP地址被归类为恶意IP,643个IP地址被标记为可疑IP。这些恶意IP是通过TOR出口节点观察到的,而可疑IP则与一些不太知名的主机提供商关联。美国、德国和荷兰位列恶意IP来源国前三大。

技术报告:

https://blogs.jpcert.or.jp/en/2025/04/dslogdrat.html

新闻链接:

https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

韩国公司遭 Lazarus 水坑攻击和零日漏洞攻击

https://www.securityweek.com/south-korean-companies-targeted-by-lazarus-via-watering-hole-attacks-zero-days/

朝鲜APT黑客创建公司,向求职者投放恶意软件

https://cybersecuritynews.com/north-korean-apt-hackers-create-companies-to-deliver-malware-strains/

DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本

https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html

一般威胁事件

General Threat Incidents

微软警告:Storm-1977 使用密码喷洒攻击针对教育行业

Storm-1977 targets education sector with password spraying, Microsoft warns

IBM 警告:网络犯罪分子现在更注重窃取凭证,而非使用勒索软件

https://www.cysecurity.news/2025/04/cybercriminals-are-now-focusing-more-on.html

网络安全警报:假冒 PDF 转换器正在窃取敏感信息

https://www.cysecurity.news/2025/04/cybersecurity-alert-says-fake-pdf.html

非洲跨国电信巨头 MTN 集团披露数据泄露事件

African multinational telco giant MTN Group disclosed a data breach

新攻击瞄准游戏玩家,部署 AgeoStealer 恶意软件

Gamers Beware! New Attack Targets Gamers to Deploy AgeoStealer Malware

漏洞事件

Vulnerability Incidents

SAP NetWeaver 零日漏洞可能被初始访问代理利用

https://www.securityweek.com/sap-zero-day-possibly-exploited-by-initial-access-broker/

Chrome UAF 漏洞遭野外利用

https://cybersecuritynews.com/chrome-uaf-vulnerabilities-exploited/

Critical Craft CMS RCE 0-Day 漏洞遭利用

https://cybersecuritynews.com/craft-cms-rce-0-day-vulnerability/

Commvault 严重漏洞可导致系统完全接管

Critical Commvault Flaw Allows Full System Takeover – Update NOW

Planet Technology 工业交换机漏洞可导致设备被接管

Planet Technology Industrial Switch Flaws Risk Full Takeover – Patch Now

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事