DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞（CVE-2025-0282）攻击日本

网络安全研究人员警告称，一种名为 DslogdRAT 的新恶意软件在利用 Ivanti Connect Secure (ICS) 中现已修补的安全漏洞部署。

JPCERT/CC 研究员 Yuma Masubuchi在周四发布的一份报告中表示，该恶意软件及其 Web Shell“是在 2024 年 12 月左右针对日本组织的攻击中利用当时的零日漏洞 CVE-2025-0282 安装的” 。

CVE-2025-0282是 ICS 中的一个严重安全漏洞，可能允许未经身份验证的远程代码执行。Ivanti 已于 2025 年 1 月初修复该漏洞。

该漏洞已被一个追踪编号为 UNC5337 的网络间谍组织利用，并被用作零日漏洞武器，用于传播 SPAWN 恶意软件生态系统以及 DRYHOOK 和 PHASEJAM 等其他工具。后两种恶意软件的部署尚未被归属于任何已知的威胁组织。

JPCERT/CC 和美国网络安全和基础设施安全局 (CISA) 都披露了利用同一漏洞来提供 SPAWN 的更新版本（称为SPAWNCHIMERA和RESURGE）。

本月初，谷歌旗下的 Mandiant 安全公司称，ICS 中的另一个安全漏洞 (CVE-2025-22457) 已被用于传播 SPAWN，SPAWN 是一种恶意软件，据称是由另一个被追踪为UNC5221 的黑客组织所为。

JPCERT/CC 表示，目前尚不清楚使用 DslogdRAT 的攻击是否属于 UNC5221 运营的 SPAWN 恶意软件家族的同一活动。

该机构概述的攻击序列包括利用 CVE-2025-0282 来部署 Perl Web Shell，然后将其作为部署其他有效载荷（包括 DslogdRAT）的管道。

就 DslogdRAT 而言，它通过套接字连接与外部服务器发起联系，以发送基本系统信息，并等待进一步的指令，以允许其执行 shell 命令、上传/下载文件以及使用受感染的主机作为代理。

此前，威胁情报公司 GreyNoise 警告称，过去 24 小时内，针对 ICS 和 Ivanti Pulse Secure (IPS) 设备的“可疑扫描活动激增 9 倍”，来自超过270 个唯一 IP 地址，过去 90 天内有超过1,000 个唯一 IP 地址。

其中，255个IP地址被归类为恶意IP，643个IP地址被标记为可疑IP。这些恶意IP是通过TOR出口节点观察到的，而可疑IP则与一些不太知名的主机提供商关联。美国、德国和荷兰位列恶意IP来源国前三大。

技术报告：

https://blogs.jpcert.or.jp/en/2025/04/dslogdrat.html

新闻链接：

https://thehackernews.com/2025/04/dslogdrat-malware-deployed-via-ivanti.html