此篇文章詳細報導了關於Ivanti Connect Secure(ICS)所遭遇的資安漏洞,這些漏洞引發的駭客攻擊已經持續影響全球數個國家,包括台灣、日本和韓國等地。具體來說,CVE-2025-0282和CVE-2025-22457是兩個風險極高的漏洞(CVSS風險均為9.0),微軟於2025年初及4月修補了這些漏洞。然而,據資安業者趨勢科技的調查,這些漏洞已在去年12月就被駭客利用,並成功發起大規模的攻擊行動。攻擊的範圍涵蓋近20個產業,並且駭客在當地的持續控制仍可能未被完全清除。
Ivanti於今年1月和4月修補的ICS漏洞引發了大量的資安威脅,並且有關這些漏洞的攻擊活動從去年12月起便已經顯現。根據日本電腦緊急應變小組(JPCERT/CC)的最新調查,駭客在利用這些漏洞後,開始散播包括MDifyLoader、Cobalt Strike、Vshell、Fscan等在內的惡意工具,進行更為隱蔽的滲透與攻擊。作者提到,儘管有執法機構的干預,這些駭客的行為並未停止,反而隨著攻擊方法的變化而更加隱密。
駭客利用這些漏洞成功入侵目標組織後,會使用Cobalt Strike工具來執行惡意行為。具體的攻擊流程是,駭客先透過合法的執行檔案和DLL側載手法運行MDifyLoader,並進一步解碼資料,最終將Cobalt Strike的Beacon程式在記憶體中執行。MDifyLoader本身使用RC4加密演算法進行資料解密,並且會搭配EXE檔案來運作,這些工具還利用大量垃圾程式碼來避免資安系統的偵測。
另外,Cobalt Strike工具的解密過程也利用了特定的XOR金鑰與RC4演算法進行運行,這進一步提升了惡意活動的隱蔽性。除了Cobalt Strike,駭客還使用Vshell與Fscan兩個作案工具進行駭客入侵。Vshell是一款跨平台的遠端存取木馬(RAT),並特別檢查作業系統語言設定,會針對中文系統進行更針對性的攻擊。Fscan則是駭客利用的網路掃描工具,同樣由Go語言開發,並利用Python腳本來執行惡意載入工具。
文章提到,駭客攻擊的範圍不僅限於單一目標,攻擊者會通過暴力破解方法,入侵包括Active Directory伺服器、FTP伺服器、微軟SQL伺服器等多種伺服器,進而獲取帳密資料。他們也會嘗試利用永恆之藍(EternalBlue)漏洞來滲透尚未修補的SMB伺服器,進行橫向移動並在多個系統中部署惡意程式。駭客為了能持續在受害網絡中活動,會創建新的網域帳號並將其新增至現有的群組,此外,還會將惡意軟體註冊為系統服務或工作排程,以便於受害主機啟動時重新啟動。
本文最後指出,儘管資安業者和執法機構已經努力處理這些漏洞並進行攻擊防範,但由於駭客的行動愈加隱蔽且使用了多種新型的作案工具,他們能夠迅速恢復攻擊行為,這使得企業和組織必須加強自身的防禦措施,避免未來再次成為受害者。
