Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) RESURGE Зловреден софтуер

RESURGE Зловреден софтуер

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:
български език

Изследователите са открили нов вид злонамерен софтуер, RESURGE, който е бил внедрен в атаки, експлоатиращи вече коригирана уязвимост на сигурността в устройствата Ivanti Connect Secure (ICS). Този сложен злонамерен софтуер се основава на възможностите на варианта на злонамерен софтуер SPAWNCHIMERA, но въвежда уникални команди, които променят поведението му.

Гъвкав и заплашителен инструментариум

RESURGE не е просто обикновен експлойт — той притежава набор от функционалности, включително да действа като руткит, капкомер, задна врата, буткит, прокси и тунелиращ. Тези възможности го правят страхотен инструмент за нападатели, които искат да поддържат устойчивост и контрол върху компрометирани системи.

Използваната уязвимост: CVE-2025-0282

Зловреден софтуер се възползва от CVE-2025-0282, базирана на стека уязвимост при препълване на буфер, която засяга множество продукти на Ivanti, включително:

  • Ivanti Connect Secure (преди версия 22.7R2.5)
  • Ivanti Policy Secure (преди версия 22.7R1.2)
  • Ivanti Neurons за ZTA Gateways (преди версия 22.7R2.3)

Този пропуск позволява дистанционно изпълнение на код, което позволява на атакуващите да разположат сложен зловреден софтуер като RESURGE.

Екосистемата за зловреден софтуер SPAWN

Изследователите на киберсигурността свързаха експлоатацията на CVE-2025-0282 с екосистемата на зловреден софтуер SPAWN, която включва компоненти като:

  • ХАЙЦЕР
  • КЪРТИЦА
  • ОХВЪЛ НА ХАЙЦЕРА

Тази екосистема се приписва на UNC5337, група за шпионаж, свързана с Китай, известна с операции за кибершпионаж.

SPAWNCHIMERA: Еволюиралата заплаха

Забележително развитие във веригата на атаките е вариантът SPAWNCHIMERA, който консолидира отделните модули SPAWN в един монолитен зловреден софтуер. Тази версия въвежда значително подобрение:

  • Междупроцесна комуникация чрез UNIX домейн сокети
  • Корекция на CVE-2025-0282, за да се предотврати съперничещите заплахи да използват същата уязвимост

RESURGE: Стъпка отвъд SPAWNCHIMERA

Последната итерация, RESURGE ('libdsupgrade.so'), разширява SPAWNCHIMERA с три допълнителни команди:

  • Устойчивост и манипулиране на системата : Вмъква се в „ld.so.preload“, настройва уеб обвивка, променя проверките за цялост и модифицира файлове.
  • Използване на идентификационни данни и привилегии – Позволява използването на уеб обвивка за събиране на идентификационни данни, създаване на акаунт, нулиране на пароли и ескалация на привилегии.
  • Boot Persistence – Копира уеб обвивката на работещия диск за зареждане на Ivanti и модифицира изображението за основно зареждане, за да осигури дългосрочен достъп.

Допълнителни открития: SPAWNSLOTH и DSMain

Изследователите също са идентифицирали два допълнителни артефакта на злонамерен софтуер от компрометирано ICS устройство в критична инфраструктура:

  • SPAWNSLOTH ('liblogblock.so') – Вариант, вграден в RESURGE, който манипулира регистрационните файлове на устройството Ivanti, за да прикрие следи.
  • DSMain – персонализиран 64-битов Linux ELF двоичен файл, съдържащ скрипт с отворен код и компоненти от BusyBox, позволяващ извличане на ядрото и по-нататъшен компрометиране на системата.

Експлоатация от нулев ден от друга заплаха

За отбелязване е, че CVE-2025-0282 също е бил използван като нулев ден от Silk Typhoon (бивш Hafnium ), друга свързана с Китай група за кибершпионаж. Това подчертава високата стойност на тази уязвимост сред спонсорираните от държавата заплахи.

Стратегии за смекчаване: Изпреварване на заплахата

Като се има предвид бързото развитие на тези варианти на зловреден софтуер, организациите трябва да предприемат незабавни действия, за да защитят своите копия на Ivanti:

  • Корекция до най-новата версия, за да затворите уязвимостта CVE-2025-0282.
  • Нулирайте идентификационните данни както за привилегировани, така и за непривилегировани акаунти.
  • Редувайте паролите за всички домейнови и локални акаунти.
  • Прегледайте правилата за достъп и временно отменете привилегиите за засегнатите устройства.
  • Наблюдавайте сметките за всякакви признаци на аномална дейност.

Тъй като нападателите активно усъвършенстват своите техники, проактивните защитни мерки са от съществено значение за защитата на критичната инфраструктура и чувствителните данни.

Тенденция

Curestin.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Интернет е пълен с възможности, но крие и значителни рискове. Измамните уебсайтове се възползват от нищо неподозиращи потребители, което води до заплахи за сигурността като тактики, кражба на...

Най-гледан

Зареждане...