RESURGE Malware

গবেষকরা একটি নতুন ম্যালওয়্যার স্ট্রেন, RESURGE আবিষ্কার করেছেন, যা Ivanti Connect Secure (ICS) যন্ত্রপাতিগুলিতে এখন-প্যাচ করা নিরাপত্তা দুর্বলতাকে কাজে লাগিয়ে আক্রমণে মোতায়েন করা হয়েছে। এই অত্যাধুনিক ম্যালওয়্যারটি SPAWNCHIMERA ম্যালওয়্যার ভেরিয়েন্টের ক্ষমতার উপর ভিত্তি করে তৈরি করে তবে অনন্য কমান্ডগুলি প্রবর্তন করে যা এর আচরণ পরিবর্তন করে।

একটি বহুমুখী এবং হুমকিস্বরূপ টুলকিট

RESURGE কেবল একটি সাধারণ এক্সপ্লয়েট নয় - এটির বিভিন্ন কার্যকারিতা রয়েছে, যার মধ্যে রয়েছে রুটকিট, ড্রপার, ব্যাকডোর, বুটকিট, প্রক্সি এবং টানেলার। এই ক্ষমতাগুলি এটিকে আক্রমণকারীদের জন্য একটি শক্তিশালী হাতিয়ার করে তোলে যারা ঝুঁকিপূর্ণ সিস্টেমের উপর স্থায়িত্ব এবং নিয়ন্ত্রণ বজায় রাখতে চায়।

শোষিত দুর্বলতা: CVE-2025-0282

ম্যালওয়্যারটি CVE-2025-0282 এর সুযোগ নেয়, যা একটি স্ট্যাক-ভিত্তিক বাফার ওভারফ্লো দুর্বলতা যা একাধিক ইভান্টি পণ্যকে প্রভাবিত করে, যার মধ্যে রয়েছে:

• ইভান্টি কানেক্ট সিকিউর (২২.৭আর২.৫ সংস্করণের আগে)
• ইভান্তি পলিসি সিকিউর (সংস্করণ 22.7R1.2 এর আগে)
• ZTA গেটওয়ের জন্য ইভান্টি নিউরন (সংস্করণ 22.7R2.3 এর আগে)

এই ত্রুটিটি দূরবর্তী কোড কার্যকর করতে সক্ষম করে, আক্রমণকারীদের RESURGE এর মতো অত্যাধুনিক ম্যালওয়্যার স্থাপন করতে দেয়।

SPAWN ম্যালওয়্যার ইকোসিস্টেম

সাইবার নিরাপত্তা গবেষকরা CVE-2025-0282 ব্যবহারের সাথে ম্যালওয়্যারের SPAWN ইকোসিস্টেম যুক্ত করেছেন, যার মধ্যে রয়েছে নিম্নলিখিত উপাদানগুলি:

• স্প্যান্যান্ট
• স্পনমোল
• স্প্যাননেল

এই বাস্তুতন্ত্রের জন্য দায়ী করা হয়েছে UNC5337, একটি চীন-নেক্সাস গুপ্তচরবৃত্তি গোষ্ঠী যা সাইবার-গুপ্তচরবৃত্তি কার্যক্রমের জন্য পরিচিত।

স্পনচাইমেরা: বিকশিত হুমকি

আক্রমণ শৃঙ্খলে একটি উল্লেখযোগ্য উন্নয়ন হল SPAWNCHIMERA ভেরিয়েন্ট, যা পৃথক SPAWN মডিউলগুলিকে একটি একক মনোলিথিক ম্যালওয়্যারে একত্রিত করে। এই সংস্করণে একটি উল্লেখযোগ্য উন্নতি প্রবর্তন করা হয়েছে:

• UNIX ডোমেইন সকেটের মাধ্যমে আন্তঃপ্রক্রিয়া যোগাযোগ
• প্রতিদ্বন্দ্বী হুমকিদাতাদের একই দুর্বলতা কাজে লাগানো থেকে বিরত রাখতে CVE-2025-0282 এর প্যাচিং

পুনরুত্থান: স্প্যানচিমেরার এক ধাপ এগিয়ে

সর্বশেষ পুনরাবৃত্তি, RESURGE ('libdsupgrade.so'), তিনটি অতিরিক্ত কমান্ড সহ SPAWNCHIMERA-তে প্রসারিত হয়:

• স্থায়িত্ব এবং সিস্টেম ম্যানিপুলেশন : এটি 'ld.so.preload'-এ নিজেকে প্রবেশ করায়, একটি ওয়েব শেল সেট আপ করে, অখণ্ডতা পরীক্ষা পরিবর্তন করে এবং ফাইলগুলি পরিবর্তন করে।
• শংসাপত্র এবং বিশেষাধিকার শোষণ - শংসাপত্র সংগ্রহ, অ্যাকাউন্ট তৈরি, পাসওয়ার্ড রিসেট এবং বিশেষাধিকার বৃদ্ধির জন্য ওয়েব শেল ব্যবহার সক্ষম করে।
• বুট পারসিস্টেন্স – ওয়েব শেলটি ইভান্টির চলমান বুট ডিস্কে কপি করে এবং দীর্ঘমেয়াদী অ্যাক্সেস নিশ্চিত করতে কোরবুট ইমেজ পরিবর্তন করে।

অতিরিক্ত অনুসন্ধান: SPAWNSLOTH এবং DSMain

গবেষকরা গুরুত্বপূর্ণ অবকাঠামোর মধ্যে একটি ক্ষতিগ্রস্ত ICS ডিভাইস থেকে আরও দুটি ম্যালওয়্যার আর্টিফ্যাক্ট সনাক্ত করেছেন:

• SPAWNSLOTH ('liblogblock.so') – RESURGE-এর মধ্যে এমবেড করা একটি ভেরিয়েন্ট যা ট্র্যাকগুলি কভার করার জন্য Ivanti ডিভাইস লগগুলিকে ম্যানিপুলেট করে।
• DSMain – একটি কাস্টম 64-বিট লিনাক্স ELF বাইনারি যাতে একটি ওপেন-সোর্স শেল স্ক্রিপ্ট এবং BusyBox থেকে উপাদান রয়েছে, যা কার্নেল নিষ্কাশন এবং আরও সিস্টেম আপস সক্ষম করে।

আরেক হুমকি অভিনেতার জিরো-ডে শোষণ

উল্লেখযোগ্যভাবে, সিল্ক টাইফুন (পূর্বে হাফনিয়াম ) নামে আরেকটি চীন-সংশ্লিষ্ট সাইবার-গুপ্তচরবৃত্তি গোষ্ঠী CVE-2025-0282 কে শূন্য-দিন হিসেবে ব্যবহার করেছে। এটি রাষ্ট্র-স্পনসরিত হুমকিদাতাদের মধ্যে এই দুর্বলতার উচ্চ মূল্যকে তুলে ধরে।

প্রশমন কৌশল: হুমকির সামনে থাকা

এই ম্যালওয়্যার ভেরিয়েন্টগুলির দ্রুত বিবর্তনের পরিপ্রেক্ষিতে, সংস্থাগুলিকে তাদের ইভান্টি দৃষ্টান্তগুলিকে সুরক্ষিত করার জন্য অবিলম্বে পদক্ষেপ নিতে হবে:

• CVE-2025-0282 দুর্বলতা বন্ধ করতে সর্বশেষ সংস্করণে প্যাচ করুন।
• সুবিধাপ্রাপ্ত এবং অ-সুবিধাপ্রাপ্ত উভয় অ্যাকাউন্টের জন্য শংসাপত্র পুনরায় সেট করুন।
• সমস্ত ডোমেন এবং স্থানীয় অ্যাকাউন্টের জন্য পাসওয়ার্ড ঘোরান।

• অ্যাক্সেস নীতি পর্যালোচনা করুন এবং প্রভাবিত ডিভাইসগুলির জন্য অস্থায়ীভাবে সুবিধাগুলি প্রত্যাহার করুন।

• কোনও অস্বাভাবিক কার্যকলাপের লক্ষণের জন্য অ্যাকাউন্টগুলি পর্যবেক্ষণ করুন।

আক্রমণকারীরা সক্রিয়ভাবে তাদের কৌশলগুলি পরিমার্জন করছে, তাই গুরুত্বপূর্ণ অবকাঠামো এবং সংবেদনশীল তথ্য সুরক্ষিত রাখার জন্য সক্রিয় প্রতিরক্ষা ব্যবস্থা অপরিহার্য।