今年1月、2月,資安業者Ivanti修補旗下SSL VPN系統Connect Secure(ICS)重大層級漏洞CVE-2025-0282、CVE-2025-22457(CVSS風險評為9.0、9.8分),相關漏洞攻擊引起政府單位及資安業者的高度關注,並揭露駭客使用的惡意程式,如今有新的調查結果指出,漏洞攻擊仍在持續進行,且範圍包含臺灣在內的12個國家。
臺灣資安業者杜浦數位安全(TeamT5)指出,他們在3月底偵測到中國APT駭客利用上述兩項漏洞攻擊ICS系統的情況,這波攻擊行動已在臺灣、日本、南韓、荷蘭、新加坡、英國、美國、奧地利、澳洲、法國、西班牙、阿拉伯聯合大公國出現災情,而對於駭客攻擊的產業類別也相當廣泛,涵蓋近20個不同的產業,值得留意的是,研究人員在著手分析調查的過程裡,這些駭客很有可能仍持續控制受害組織的網路環境。
針對攻擊行動發生的過程,TeamT5指出,一旦駭客成功利用漏洞,就有機會遠端執行任意程式碼(RCE),從而入侵受害組織的網路環境,並部署惡意軟體。
在這波攻擊行動裡,駭客使用的是惡意軟體SpawnChimera,此惡意軟體最早由日本電腦危機處理暨協調中心(JPCERT/CC)揭露,當時JPCERT/CC指出,此惡意程式具備Spawn家族惡意程式的所有功能,這些惡意程式包括:惡意軟體部署工具Spawnant、網路隧道工具Spawnmole、SSH後門Spawnsnail。而TeamT5看到的SpawnChimera,更進一步整合了事件記錄抹除工具Spawnsloth。附帶一提的是,研究人員提及,SpawnChimera已是中國駭客組織之間共用的惡意軟體,這代表很有可能有多組人馬投入漏洞攻擊活動。
TeamT5也提及鎖定ICS的攻擊行動升溫的情況,他們自4月以來,發現有大規模嘗試利用ICS漏洞的現象,僅管這些攻擊大部分並未得逞,卻顯著影響這些SSL VPN系統運作,造成不穩定甚至是癱瘓的現象。
