Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か

「UNC5337」は、2024年1月以降、認証バイパスの脆弱性「CVE-2023-46805」やコマンドインジェクションの脆弱性「CVE-2024-21887」を悪用して「Ivanti Connect Secure」を侵害する活動を展開している。また「UNC5221」も2023年12月以降、同様の活動を展開していた。

また別のアプライアンスでは、アプライアンス内のコンポーネントを改ざんするシェルスクリプトベースのドロッパー「PHASEJAM」が確認された。

ウェブシェルを挿入し、任意のコマンドを実行できるようにファイルを上書きしたり、アップグレードを妨害する機能などを備える。さらにログを削除することでフォレンジック調査を妨害していた。

またPythonスクリプトベースのマルウェア「DRYHOOK」を悪用。システムコンポーネントを改ざんし、資格情報を窃取する。

「PHASEJAM」「DRYHOOK」については、今回の攻撃ではじめて確認されたマルウェアであり、既知の攻撃グループとの関係はわかっていない。

（Security NEXT - 2025/01/09 ） ツイート

PR

関連記事

米当局、「FortiWeb」の脆弱性悪用に注意喚起
「FortiWeb」に深刻な脆弱性 - すでに攻撃も
アスクル子会社の受託物流サービス、取引先情報流出の可能性
「ぶちエコサポーター」研修会の参加者宛メールで誤送信 - 山口県
誤って資料を持ち帰り紛失、住民が商業施設で拾得 - 新潟県
従業員個人PCがマルウェア感染、業務用認証情報が流出 - QUICK
番組編集ネットワークにランサム攻撃 - ケーブルテレビ可児
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性
Apple、脆弱性を修正した「iOS 18.7.2」「iPadOS 18.7.2」を公開
「Django」にSQLiやDoS脆弱性 - 修正版をリリース