SPAWNCHIMERA Malware Exploits Ivanti Buffer Overflow Vulnerability by Applying a Critical Fix
SPAWNCHIMERA Malware Exploits Ivanti Buffer Overflow Vulnerability by Applying a Critical Fix
In a recent development, the SPAWNCHIMERA malware family has been identified exploiting the buffer overflow vulnerability CVE-2025-0282 in Ivanti Connect Secure.
gbhackers.com
- 주요 공격 방법
- Ivanti Connect Secure의 버퍼 오버플로우 취약점을 이용하여 공격 실행
- 취약점은 strncpy 함수의 부적절한 사용으로 발생하며, 악성코드는 해당 함수를 후킹해 복사 크기를 256바이트로 제한하는 동적 패치를 적용함
- 이 패치는 프로세스 이름이 "web"일 때만 활성화되어 PoC 도구를 통한 탐색을 차단함
- 향상된 은폐 및 통신 기법
- 로컬 포트 8300 대신 UNIX 도메인 소켓을 사용해 프로세스 간 통신 수행
- 악성 트래픽은 숨겨진 경로(/home/runtime/tmp/.logsrv)를 통해 전달되어 표준 네트워크 모니터링 도구로 탐지 어려움
- SSH 개인 키는 XOR 기반 함수로 동적 디코딩되어 포렌식 흔적 최소화됨
- 추가 기능 및 대응 전략
- 하드코딩된 트래픽 식별자를 계산 기반 디코드 함수로 대체해 악성 트래픽 식별 방해
- 이전 버전의 디버깅 메시지를 제거해 분석을 더욱 어렵게 만듦
- 이러한 기법들은 경쟁 공격자들의 침투 시도를 차단하며, 자체 악성 활동의 지속성을 보장함
- 결론
- Ivanti Connect Secure를 사용하는 조직은 즉시 공급업체가 제공한 패치를 적용할 것
- 행동 분석 기반 탐지 기법을 도입해 정적 서명보다 효과적으로 악성 활동을 식별할 필요 있음
- 최신 패치 적용과 동적 탐지 기법 강화를 통해 지속적인 위협을 효과적으로 완화할 것
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Zhong Stealer 악성코드, Zendesk 악용해 핀테크·암호화폐 공격 (1) | 2025.03.04 |
|---|---|
| OpenAI, 감시 및 여론 조작 캠페인에 사용된 ChatGPT 계정 차단 (0) | 2025.03.04 |
| NSA의 Northwestern Polytechnical University 해킹 의혹 (0) | 2025.03.04 |
| ACRStealer 악성코드, Google Docs를 C2로 악용 (0) | 2025.03.04 |
| Apple, 영국에서 iCloud 고급 데이터 보호 기능 철회 (0) | 2025.03.04 |