برنامج RESURGE الخبيث
اكتشف الباحثون سلالة جديدة من البرمجيات الخبيثة، تُدعى RESURGE، استُخدمت في هجمات استغلت ثغرة أمنية مُعالجة في أجهزة Ivanti Connect Secure (ICS). تعتمد هذه البرمجية الخبيثة المتطورة على قدرات نسخة SPAWNCHIMERA الخبيثة، لكنها تُدخل أوامر فريدة تُعدّل سلوكها.
جدول المحتويات
مجموعة أدوات متعددة الاستخدامات وخطيرة
RESURGE ليس مجرد استغلال بسيط، بل يمتلك مجموعة من الوظائف، بما في ذلك العمل كجذر خبيث، وناقل برمجيات خبيثة، وباب خلفي، وبرنامج تمهيد، ووكيل، ونفق. هذه القدرات تجعله أداةً فعّالة للمهاجمين الذين يسعون إلى الحفاظ على استمرارية الأنظمة المُخترقة وسيطرتها عليها.
الثغرة المُستغلة: CVE-2025-0282
يستغل البرنامج الخبيث ثغرة CVE-2025-0282، وهي ثغرة فيضان المخزن المؤقت المستندة إلى المكدس والتي تؤثر على العديد من منتجات Ivanti، بما في ذلك:
- Ivanti Connect Secure (قبل الإصدار 22.7R2.5)
- سياسة إيفانتي الآمنة (قبل الإصدار 22.7R1.2)
- Ivanti Neurons لـ ZTA Gateways (قبل الإصدار 22.7R2.3)
يتيح هذا الخلل تنفيذ التعليمات البرمجية عن بعد، مما يسمح للمهاجمين بنشر برامج ضارة متطورة مثل RESURGE.
نظام SPAWN البيئي للبرامج الضارة
ربط باحثو الأمن السيبراني استغلال CVE-2025-0282 بنظام SPAWN البيئي للبرامج الضارة، والذي يتضمن مكونات مثل:
- تفرخ
- خلد البيض
- حلزون البيض
وقد تم نسب هذا النظام البيئي إلى UNC5337، وهي مجموعة تجسس مرتبطة بالصين ومعروفة بعمليات التجسس الإلكتروني.
سباونكيميرا: التهديد المتطور
من التطورات البارزة في سلسلة الهجمات إصدار SPAWNCHIMERA، الذي يدمج وحدات SPAWN الفردية في برمجية خبيثة واحدة. يقدم هذا الإصدار تحسينًا كبيرًا:
- الاتصال بين العمليات عبر مآخذ نطاق UNIX
- تصحيح الثغرة الأمنية CVE-2025-0282 لمنع الجهات الفاعلة المنافسة من استغلال نفس الثغرة الأمنية
RESURGE: خطوة أبعد من SPAWNCHIMERA
يقوم الإصدار الأحدث، RESURGE ('libdsupgrade.so')، بتوسيع نطاق SPAWNCHIMERA بثلاثة أوامر إضافية:
- الاستمرارية والتلاعب بالنظام : يقوم بإدخال نفسه في 'ld.so.preload'، ويقوم بإعداد غلاف ويب، ويغير فحوصات السلامة ويعدل الملفات.
- استغلال بيانات الاعتماد والامتيازات – يتيح استخدام غلاف الويب لجمع بيانات الاعتماد وإنشاء الحسابات وإعادة تعيين كلمات المرور وتصعيد الامتيازات.
- استمرارية التمهيد – نسخ غلاف الويب إلى قرص التمهيد الذي يعمل بنظام Ivanti وتعديل صورة التمهيد الأساسية لضمان الوصول على المدى الطويل.
نتائج إضافية: SPAWNSLOTH وDSMain
كما حدد الباحثون أيضًا اثنين من البرامج الضارة الإضافية من جهاز ICS المخترق داخل البنية التحتية الحيوية:
- SPAWNSLOTH ('liblogblock.so') - متغير مضمن داخل RESURGE يتلاعب بسجلات جهاز Ivanti لتغطية المسارات.
- DSMain – ملف ثنائي ELF مخصص 64 بت لنظام Linux يحتوي على نص برمجي مفتوح المصدر ومكونات من BusyBox، مما يتيح استخراج النواة ومزيد من الاختراق للنظام.
استغلال يوم الصفر من قبل جهة تهديد أخرى
تجدر الإشارة إلى أن CVE-2025-0282 استُغلّت أيضًا كثغرة يوم الصفر من قِبل مجموعة Silk Typhoon (المعروفة سابقًا باسم Hafnium )، وهي مجموعة تجسس إلكتروني أخرى مرتبطة بالصين. وهذا يُبرز الأهمية الكبيرة لهذه الثغرة لدى الجهات الفاعلة التي ترعاها الدول.
استراتيجيات التخفيف: البقاء في طليعة التهديد
نظرًا للتطور السريع لهذه المتغيرات من البرامج الضارة، يتعين على المؤسسات اتخاذ إجراءات فورية لحماية حالات Ivanti الخاصة بها:
- قم بتحديث الإصدار الأحدث لإغلاق الثغرة الأمنية CVE-2025-0282.
- إعادة تعيين بيانات الاعتماد للحسابات المميزة وغير المميزة.
- قم بتدوير كلمات المرور لجميع النطاقات والحسابات المحلية.
- قم بمراجعة سياسات الوصول وإلغاء الامتيازات مؤقتًا للأجهزة المتأثرة.
- مراقبة الحسابات بحثًا عن أي علامات تشير إلى نشاط غير طبيعي.
مع قيام المهاجمين بتطوير تقنياتهم بشكل نشط، فإن تدابير الدفاع الاستباقية ضرورية لحماية البنية التحتية الحيوية والبيانات الحساسة.
