Ivanti 零日漏洞被利用來投放 MDifyLoader 並發動記憶體中 Cobalt Strike 攻擊
網路安全研究人員披露了一種名為MDifyLoader的新惡意軟體的詳細信息,該惡意軟體與利用 Ivanti Connect Secure (ICS) 設備安全漏洞的網路攻擊有關。根據 JPCERT/CC 今天發布的報告,在 2024 年 12 月至 2025 年 7 月期間觀察到的入侵中,利用CVE-2025-0282和CVE-2025-22457的威脅行為者已利用這些漏洞來投放 MDifyLoader,然後利用該漏洞在記憶體中啟動 Cobaltbalt。 CVE-2025-0282 是 ICS 中的一個嚴重安全漏洞,可能允許未經身份驗證的遠端程式碼執行。 Ivanti 已於 2025 年 1 月初修復了該漏洞。 CVE-2025-22457 已於 2025 年 4 月修復,該漏洞涉及一個基於堆疊的緩衝區溢位漏洞,可導致執行任意程式碼。雖然這兩個漏洞都已在野外被用作零日漏洞,但 JPCERT/CC 今年 4 月的調查結果顯示,第一個漏洞已被濫用,用於傳播
SPAWNCHIMERA和
DslogdRAT等惡意軟體家族。
針對涉及工業控制系統 (ICS) 漏洞的攻擊的最新分析發現,攻擊者利用 DLL 側載技術啟動 MDifyLoader,該程式包含一個編碼的 Cobalt Strike 信標負載。此信標載重已被確定為 4.5 版本,發佈於2021 年 12 月。JPCERT/CC 表示:“攻擊者使用的 VShell 具有檢查系統語言是否設定為中文的功能。攻擊者多次執行 VShell 失敗,經確認,每次他們都安裝了新版本並再次嘗試執行。此行為表明,該語言檢查功能可能用於內部測試,在部署期間保持啟用狀態。”
Masubuchi 表示:“攻擊者創建了新的網域帳戶並將其添加到現有群組中,這樣即使先前獲得的憑證被撤銷,他們也能保留存取權限。”這些帳戶與正常操作混為一談,從而能夠長期存取內部網路。此外,攻擊者將其惡意軟體註冊為服務或任務調度程序以保持持久性,確保其在系統啟動時或特定事件觸發時運行。
資料來源:https://thehackernews.com/2025/07/ivanti-zero-days-exploited-to-drop.html