Китайские хакеры атакуют организации по всему миру, используя уязвимости в Ivanti VPN

С весны 2025 года связанные с Китаем хакерские группировки начали атаки на организации в 12 странах и более чем в 20 отраслях по всему миру. Атаки проводились с использованием опасных уязвимостей в устройствах Ivanti Connect Secure VPN.

Специалисты по кибербезопасности сообщили о двух критических уязвимостях — CVE-2025-0282 и CVE-2025-22457. С их помощью злоумышленники могли получить доступ к системе без авторизации и запускать произвольный код. Таким образом они устанавливали вредоносный набор программ под названием SPAWNCHIMERA.

Вредоносное ПО включает в себя следующие компоненты:

SPAWNANT — скрытый установщик, обходящий проверки целостности.
SPAWNMOLE — прокси-сервер SOCKS5 для перенаправления трафика.
SPAWNSNAIL — SSH-бэкдор для постоянного доступа.
SPAWNSLOTH — инструмент удаления логов для сокрытия следов.

Атаки затронули такие страны, как США, Великобритания, ОАЭ, Япония, Южная Корея, Франция, Испания, Австрия, Нидерланды, Сингапур, Тайвань и Австралия. В числе целей — государственные учреждения, банки, телекоммуникационные компании, юридические фирмы и международные организации.

Хакеры долгое время имели скрытый доступ к сетям жертв и могли похищать конфиденциальные данные. Особенно опасным является то, что вредоносное ПО продолжало функционировать даже после установки обновлений, что значительно усиливало угрозу.

Некоторые организации до сих пор не установили патчи, несмотря на то, что они были выпущены. Это делает их легкой мишенью. Правительство США даже обязало все федеральные учреждения установить обновления до 15 января 2025 года, однако многие не выполнили это требование.

Каждая уязвимость в кибербезопасности — особенно в сетевых граничных устройствах, таких как VPN, — может поставить под угрозу всю IT-инфраструктуру организации. Учитывая, что китайские APT-группировки становятся все более профессиональными и используют кибершпионаж в качестве геополитического инструмента, всем нам необходимо:

своевременно устанавливать обновления;
полностью перенастраивать VPN-устройства;
проводить глубокий анализ сетевой активности;
немедленно проверять подозрительные входы и журналы доступа.

Сегодня отказ от установки патчей может завтра обернуться многомиллионными убытками и угрозой национальной безопасности.

Служба реагирования
на инциденты кибербезопасности

Служба реагирования
на инциденты кибербезопасности

Китайские хакеры атакуют организации по всему миру, используя уязвимости в Ivanti VPN

Обнаружена критическая уязвимость в iOS: Одной строкой кода можно вывести iPhone из строя

Уязвимости в ПО IXON VPN ставят под угрозу системы Windows и Linux

Более 400 систем SAP NetWeaver находятся под угрозой