Des pirates informatiques exploitant la vulnérabilité critique Ivanti Connect Secure zero-day divulguée hier ont installé sur des appliances VPN compromises de nouveaux logiciels malveillants appelés « Dryhook » et « Phasejam » qui ne sont actuellement associés à aucun groupe de menaces.
Le problème de sécurité, désormais suivi sous le numéro CVE-2025-0282, est une faille critique de débordement de tampon basée sur la pile qui affecte Ivanti Connect Secure 22. 7R2.5 et versions antérieures, Ivanti Policy Secure 22.7R1.2 et versions antérieures, et Ivanti Neurons pour les passerelles ZTA 22.7R2.3 et versions antérieures.
Bien que la faille ait un large impact, le fournisseur a précisé que les attaques n’avaient été observées que contre les appliances Connect Secure tout en notant que le nombre de clients affectés était “limité.”
Selon la société de cybersécurité Mandiant (qui fait maintenant partie de Google Cloud), les attaquants ont commencé à exploiter la vulnérabilité depuis la mi-décembre et ont utilisé la boîte à outils personnalisée Spawn Malware.
Le cadre malveillant est généralement associé à un espionnage présumé lié à la Chine que l’entreprise suit sous le numéro UNC5337 et fait probablement partie d’un cluster plus vaste suivi sous le numéro UNC5221.
Cependant, les familles de logiciels malveillants « Dryhook » et « Phasejam » précédemment inconnues trouvées sur certaines appliances compromises ne sont attribuées à aucun groupe de menaces pour le moment.
Chaîne d’attaque et nouveaux logiciels malveillants
Le rapport de Mandiant indique que l’attaquant a envoyé des requêtes HTTP à des URL spécifiques pour identifier les versions de l’appliance ICS. Pour masquer l’origine, l’auteur de la menace a transmis les demandes via des fournisseurs VPS ou des réseaux Tor.
Ensuite, ils ont exploité CVE-2025-0282 pour obtenir un accès initial, désactivé les protections SELinux, modifié les règles iptables pour empêcher le transfert de journal système et remonté le lecteur en « lecture-écriture » pour permettre le déploiement de logiciels malveillants.
Les chercheurs disent que les pirates ont lancé le compte-gouttes Phasejam, qui déploie un shell Web sur des composants compromis tels que ‘ getComponent.cgi et restAuth.cgi, tout en écrasant les fichiers système pour permettre l’exécution des commandes.
Les pirates ont également modifié le script de mise à niveau ‘DSUpgrade.pm » pour bloquer les mises à niveau réelles et simuler un faux processus de mise à niveau, afin que le logiciel malveillant persiste sur le système.
Les attaquants installent également des outils de génération tels que Spawnmole (tunneler), Spawnsnail (porte dérobée SSH) et Spawnsloth( utilitaire de falsification de journaux), qui, contrairement au shell Web Phasejam, peuvent persister lors des mises à niveau du système.
Les logiciels malveillants d’apparition et la nouvelle menace ont tenté d’échapper à l’outil de vérification d’intégrité (ICT) d’Ivanti en recalculant les hachages de fichiers SHA256 pour les fichiers malveillants afin qu’ils réussissent la vérification.
« SPAWNANT prend soin de contourner l’ICT en recalculant le hachage SHA256 pour tous les fichiers modifiés de manière malveillante. Une fois les modifications appropriées terminées, SPAWNANT génère une nouvelle paire de clés RSA pour signer le manifeste modifié. »- Mandiant
L’objectif des pirates semble être de voler des bases de données dans l’appliance qui contiennent généralement des informations sensibles liées aux « sessions VPN, cookies de session, clés API, certificats et informations d’identification. »
« Mandiant a observé l’acteur menaçant archiver le cache de la base de données sur une appliance compromise et mettre en scène les données archivées dans un répertoire servi par le serveur Web public pour permettre l’exfiltration de la base de données », expliquent les chercheurs.
Enfin, les auteurs de menaces utilisent un nouveau logiciel malveillant appelé Dryhook pour capturer les noms d’utilisateur et les mots de passe lors des processus d’authentification standard et les stocker sous une forme codée en base64 pour une récupération ultérieure.
Mesures de défense
Il est recommandé aux administrateurs système d’effectuer une réinitialisation d’usine et une mise à niveau vers Ivanti Connect Secure 22.7.R2. 5, même si les analyses TIC internes et externes ne trouvent aucun signe d’activité malveillante.
Mandiant a également partagé une liste d’indicateurs de compromission (IOC) ainsi que des règles YARA pour aider à détecter les activités suspectes associées à cette campagne.
Selon Yutaka Sugiyama, chercheur chez Macnica, plus de 3 600 appliances ICS étaient exposées sur le Web public lorsqu’Ivanti a publié un correctif pour la vulnérabilité.
Le chercheur a déclaré à Breachtrace que le nombre était maintenant tombé à environ 2 800, il y a donc toujours une surface d’attaque importante qui reste exposée aux attaques.