Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) RESURGE Programari maliciós

RESURGE Programari maliciós

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:
Català

Els investigadors han descobert una nova varietat de programari maliciós, RESURGE, que s'ha desplegat en atacs que exploten una vulnerabilitat de seguretat ara pegada als dispositius Ivanti Connect Secure (ICS). Aquest programari maliciós sofisticat es basa en les capacitats de la variant de programari maliciós SPAWNCHIMERA, però introdueix ordres úniques que modifiquen el seu comportament.

Un conjunt d’eines versàtil i amenaçador

RESURGE no és només una simple explotació, sinó que posseeix una sèrie de funcionalitats, com ara actuar com a rootkit, dropper, backdoor, bootkit, proxy i tunneler. Aquestes capacitats el converteixen en una eina formidable per als atacants que busquen mantenir la persistència i el control sobre els sistemes compromesos.

La vulnerabilitat explotada: CVE-2025-0282

El programari maliciós aprofita CVE-2025-0282, una vulnerabilitat de desbordament de memòria intermèdia basada en la pila que afecta diversos productes Ivanti, com ara:

  • Ivanti Connect Secure (abans de la versió 22.7R2.5)
  • Ivanti Policy Secure (abans de la versió 22.7R1.2)
  • Ivanti Neurons per a passarel·les ZTA (abans de la versió 22.7R2.3)

Aquest defecte permet l'execució de codi remota, permetent als atacants desplegar programari maliciós sofisticat com RESURGE.

L’ecosistema de programari maliciós SPAWN

Els investigadors de ciberseguretat han vinculat l'explotació CVE-2025-0282 a l'ecosistema de programari maliciós SPAWN, que inclou components com ara:

  • DESOJADOR
  • SPAWNMOLE
  • CARGOL

Aquest ecosistema s'ha atribuït a UNC5337, un grup d'espionatge de la Xina conegut per operacions de ciberespionatge.

SPAWNCHIMERA: L’amenaça evolucionada

Un desenvolupament notable a la cadena d'atac és la variant SPAWNCHIMERA, que consolida els mòduls SPAWN individuals en un sol programari maliciós monolític. Aquesta versió introdueix una millora significativa:

  • Comunicació entre processos mitjançant sockets de domini UNIX
  • Aplicació de pedaços de CVE-2025-0282 per evitar que els actors d'amenaces rivals aprofitin la mateixa vulnerabilitat

RESURGI: un pas més enllà de SPAWNQUIMERA

L'última iteració, RESURGE ('libdsupgrade.so'), s'amplia a SPAWNCHIMERA amb tres ordres addicionals:

  • Persistència i manipulació del sistema : s'insereix a 'ld.so.preload', configura un shell web, altera les comprovacions d'integritat i modifica els fitxers.
  • Explotació de credencials i privilegis : permet l'ús de l'intèrpret d'ordres web per a la recollida de credencials, la creació de comptes, el restabliment de contrasenyes i l'escalada de privilegis.
  • Persistència d'arrencada : copia l'intèrpret d'ordres web al disc d'arrencada que s'executa Ivanti i modifica la imatge d'arrencada del core per garantir l'accés a llarg termini.

Descobriments addicionals: SPAWNSLOTH i DSMain

Els investigadors també han identificat dos artefactes de programari maliciós addicionals d'un dispositiu ICS compromès dins d'una infraestructura crítica:

  • SPAWNSLOTH ('liblogblock.so') : una variant incrustada a RESURGE que manipula els registres del dispositiu Ivanti per cobrir les pistes.
  • DSMain : un binari ELF de Linux personalitzat de 64 bits que conté un script d'intèrpret d'ordres de codi obert i components de BusyBox, que permet l'extracció del nucli i un compromís addicional del sistema.

Explotació de dia zero per un altre actor d’amenaça

En particular, CVE-2025-0282 també ha estat explotat com a dia zero pel Silk Typhoon (abans Hafnium ), un altre grup de ciberespionatge vinculat a la Xina. Això subratlla l'alt valor d'aquesta vulnerabilitat entre els actors d'amenaça patrocinats per l'estat.

Estratègies de mitigació: mantenir-se per davant de l’amenaça

Donada la ràpida evolució d'aquestes variants de programari maliciós, les organitzacions han de prendre mesures immediates per protegir les seves instàncies Ivanti:

  • Apliqueu l'última versió per tancar la vulnerabilitat CVE-2025-0282.
  • Restableix les credencials tant per als comptes amb privilegis com per als no privilegiats.
  • Gireu les contrasenyes per a tots els comptes de domini i locals.
  • Reviseu les polítiques d'accés i revoqueu temporalment els privilegis dels dispositius afectats.
  • Monitoritzar els comptes de qualsevol signe d'activitat anòmala.

Amb els atacants perfeccionant activament les seves tècniques, les mesures de defensa proactives són essencials per salvaguardar la infraestructura crítica i les dades sensibles.

Tendència

Més vist

Carregant...