Ivanti eszközök aktív kihasználása
A Google Cloud Threat Intelligence jelentette, hogy egy feltételezett kínai kötődésű fenyegetési szereplő, az UNC5221, aktívan kihasználja az Ivanti Connect Secure (ICS) VPN eszközökben található CVE-2025-22457 azonosítójú kritikus sebezhetőséget.
A CVE-2025-22457 egy puffer túlcsordulásos hiba, amely lehetővé teszi a támadók számára a távoli kódfuttatást az érintett ICS eszközökön. A sebezhetőség az ICS 22.7R2.5 és korábbi verzióit érinti. Bár a javítás 2025. február 11-én megjelent az ICS 22.7R2.6 verzióban, a támadók valószínűleg a javítás elemzésével fedezték fel a sebezhetőség kihasználásának módját.
A sikeres kihasználás után az UNC5221 két újonnan azonosított kártevő családot telepít a TRAILBLAZE-t, ami egy memóriában futó dropper, amely a BRUSHFIRE hátsó ajtót injektálja a /home/bin/web folyamatba és a BRUSHFIRE-t, ami egy passzív backdoor, amely az SSL_read függvényt hookolja, lehetővé téve a támadók számára, hogy speciális parancsokat hajtsanak végre a rendszeren.
A támadók a korábban ismert SPAWN malware-t is bevetik, amely magában foglalja a SPAWNSLOTH, SPAWNSNARE és SPAWNWAVE komponenseket. Ezek a kártevők különböző funkciókat látnak el, például naplófájlok manipulálását, kernel képek kinyerését és titkosítását, valamint további rosszindulatú tevékenységek végrehajtását.
