详细内容或原文请订阅后点击阅览
JPCERT警告DSlogdrat恶意软件部署在Ivanti Connect Secure
研究人员确定了一种名为DSlogdrat的新恶意软件,该恶意软件在利用了Ivanti Connect Secure(ICS)中现已发现的缺陷后部署。 JPCERT/CC研究人员报告说,新的恶意软件被称为DSlogdrat和网络外壳是通过在2024年12月对日本组织的攻击中利用零日漏洞来部署的。该脆弱性被跟踪为CVE-2025-0282(CVE-2025-0282)(CVSS得分:CVSS分数:9.0)
来源:Security Affairs _恶意软件JPCERT警告DSlogdrat恶意软件部署在Ivanti Connect Secure
研究人员确定了一种名为DSlogdrat的新恶意软件,该恶意软件在利用了Ivanti Connect Secure(ICS)中现已发现的缺陷后部署。
JPCERT/CC研究人员报告说,新的恶意软件被称为DSlogdrat和Web壳通过在2024年12月对日本组织的攻击中利用零日漏洞来部署。
该漏洞被跟踪为CVE-2025-0282(CVSS得分:9.0),是一种基于堆栈的缓冲区溢出,在版本22.7r2.5之前影响Ivanti Connect Secure,Ivanti Policy在版本22.7r1.2和Zta gate for Zta Gateways for Zta gateways for Zta gateways for Zta gateway for版本22.7R22.7R2.7R2.7R2.7R2.7R2.7r2.3。
CVE-2025-0282未经身份验证的攻击者可以利用缺陷来实现远程代码执行。当地身份验证的攻击者可以触发升级特权的漏洞。
一月份,美国网络安全和基础设施安全局(CISA)将CVE-2025-0282(CVSS分数:9.0)添加到其已知的剥削漏洞(KEV)目录中。
添加 已知的利用漏洞(KEV)目录2025年3月,微软警告说,与美国财政部hack相关的中国支持的APT APT Silk Typhoon现在针对全球IT供应链,利用IT公司来监视和横向移动。 APT集团在2025年1月的攻击中利用了零日。
警告 丝绸台风JPCERT/CC现在指出,攻击者使用了基于PERL的CGI Web Shell,该Web壳检查了特定的DSautoken cookie值,如果匹配,则通过系统功能执行任意命令,这很可能用于运行DSLOGDRAT恶意软件。
系统
dsautoken =
AF95380019083DB5
数据
报告
dslogdrat产生了两个子进程:一个循环中的一个闲置,而第二个则处理核心功能,例如C2通信和通过PTHREAD库执行命令。
- 创建一个工作线程并传递套接字信息以进行通信。”基于配置数据启动与C2服务器的通信