零日漏洞预警：UNC5337 利用 Ivanti VPN 漏洞 CVE-2025-0282 进行间谍活动-李白你好

前言

Ivanti Connect Secure (ICS) VPN 设备已成为高级威胁行为者的关注焦点，利用了新披露的零日漏洞。根据 Mandiant 最近的一份报告，未经身份验证的基于堆栈的缓冲区溢出 CVE-2025-0282 的利用始于 2024 年 12 月中旬。此漏洞如果被成功利用，将允许未经身份验证的远程代码执行，可能会危及整个网络。

图片[1]-零日漏洞预警：UNC5337 利用 Ivanti VPN 漏洞 CVE-2025-0282 进行间谍活动-李白你好

2025 年 1 月 8 日，Ivanti 披露了两个漏洞 CVE-2025-0282 和 CVE-2025-0283。尽管 CVE-2025-0282 已被积极利用，但 CVE-2025-0283（一种反射型跨站点脚本 (XSS) 漏洞）如果在网络钓鱼攻击中被利用，则会带来额外的风险。成功利用该漏洞可能会导致未经身份验证的远程代码执行，从而导致受害者网络的潜在下游入侵。

Mandiant 对受感染设备的分析发现，该设备部署了之前已知和新型恶意软件家族，包括 SPAWN 生态系统（例如 SPAWNANT 安装程序、SPAWNMOLE 隧道程序和 SPAWNSNAIL SSH 后门）以及 DRYHOOK 和 PHASEJAM 等新家族。这些工具为攻击者提供了持久访问、横向移动能力和数据泄露功能。

利用过程

该报告详细介绍了一个复杂的利用过程，包括预先利用侦察和破坏 ICS 设备的系统步骤：

攻击者向 ICS 设备发送重复的 HTTP 请求，利用主机检查器启动器来确定目标的版本。

一旦成功利用，他们会禁用 SELinux、阻止 syslog 转发并部署 Web shell（例如 PHASEJAM）以进行远程访问。

PHASEJAM 是一种恶意脚本，它会修改关键的 ICS 文件以阻止合法系统升级，并安装伪装成合法系统进程的后门。报告指出，“PHASEJAM 将 Web Shell 作为名为 AccessAllow() 的函数插入合法文件 getComponent.cgi 和 restAuth.cgi 中。Web Shell 基于 Perl，可为威胁行为者提供对受感染 ICS 服务器的远程访问和代码执行功能。”

Mandiant 认为 CVE-2025-0282 的利用是 UNC5337 的中等可信度，UNC5337 是一个与中国有联系的间谍组织，疑似是 UNC5221 的一部分。UNC5221 曾针对 ICS 设备，使用高级自定义恶意软件系列，例如 SPAWNSNAIL 和 SPAWNMOLE。报告强调，“UNC5337随后利用了多个自定义恶意软件系列，包括 SPAWNSNAIL 被动后门、SPAWNMOLE 隧道程序、SPAWNANT 安装程序和 SPAWNSLOTH 日志篡改实用程序。”