中国黑客团体使用新型恶意软件攻击Ivanti VPN

关键要点

中国的威胁行为者利用新型恶意软件，持续攻击Ivanti Connect Secure VPN设备中的漏洞。Ivanti于1月31日修复了这些漏洞，但攻击者仍在利用CVE202421893。CVE202421893是伺服器端请求欺骗漏洞，目前已有多个新的恶意软件家族被部署。

根据SecurityWeek的报导，网络安全公司Mandiant警告说，中国的威胁行为者正在使用新型恶意软件，持续利用Ivanti Connect Secure VPN设备中的最新漏洞。Ivanti已于1月31日修复了这些安全缺陷，并在约一周后，对其企业VPN及网络接入产品修补了第五个漏洞。

在补丁推出后，攻击者仍然在利用名为CVE202421893的漏洞。这是一种在Ivanti企业VPN和网络接入设备的SAML组件中发现的伺服器端请求欺骗漏洞。Mandiant指出，来自中国的威胁行为者UNC5325正在利用CVE202421893来部署新的恶意软件家族，包括PitJet、Pitdog、PitStop、PitHook和LittleLambWoolTea。UNC5325似乎与中国的网络间谍组织UNC3886有关，这个组织之前曾目击到它利用易受攻击的VMware产品进行攻击，并且“主要针对位于美国和亚太地区的国防工业基础，技术和电信组织。”

每天免费2小时的加速器

“UNC5325对Ivanti Connect Secure设备具有深厚的了解，无论是在所使用的恶意软件还是试图在工厂重置后保持持久性方面。”Mandiant指出。

漏洞编号描述影响的产品攻击者使用的恶意软件CVE202421893伺服器端请求欺骗漏洞Ivanti VPNUNC5325PitJet Pitdog PitStop等

相关连结

Ivanti最新安全通报 Mandiant官网

这些事件再次突显了网络安全的重要性，及早修补漏洞和保持系统更新是抵御此类攻击的关键。