Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Κακόβουλο λογισμικό RESURGE

Κακόβουλο λογισμικό RESURGE

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό
Μετάφραση σε:
Ελληνικά

Οι ερευνητές ανακάλυψαν ένα νέο στέλεχος κακόβουλου λογισμικού, το RESURGE, το οποίο έχει αναπτυχθεί σε επιθέσεις που εκμεταλλεύονται μια ευπάθεια ασφαλείας που έχει πλέον επιδιορθωθεί στις συσκευές Ivanti Connect Secure (ICS). Αυτό το εξελιγμένο κακόβουλο λογισμικό βασίζεται στις δυνατότητες της παραλλαγής κακόβουλου λογισμικού SPAWNCHIMERA, αλλά εισάγει μοναδικές εντολές που τροποποιούν τη συμπεριφορά του.

Μια ευέλικτη και απειλητική εργαλειοθήκη

Το RESURGE δεν είναι απλώς ένα απλό exploit - διαθέτει μια σειρά από λειτουργίες, όπως το rootkit, dropper, backdoor, bootkit, proxy και tunneler. Αυτές οι δυνατότητες το καθιστούν ένα τρομερό εργαλείο για επιτιθέμενους που θέλουν να διατηρήσουν την επιμονή και τον έλεγχο σε παραβιασμένα συστήματα.

Η εκμεταλλευόμενη ευπάθεια: CVE-2025-0282

Το κακόβουλο λογισμικό εκμεταλλεύεται το CVE-2025-0282, μια ευπάθεια υπερχείλισης buffer που βασίζεται σε στοίβα και επηρεάζει πολλά προϊόντα Ivanti, όπως:

  • Ivanti Connect Secure (πριν από την έκδοση 22.7R2.5)
  • Ivanti Policy Secure (πριν από την έκδοση 22.7R1.2)
  • Ivanti Neurons για ZTA Gateways (πριν από την έκδοση 22.7R2.3)

Αυτό το ελάττωμα επιτρέπει την απομακρυσμένη εκτέλεση κώδικα, επιτρέποντας στους εισβολείς να αναπτύξουν εξελιγμένο κακόβουλο λογισμικό όπως το RESURGE.

Το οικοσύστημα κακόβουλου λογισμικού SPAWN

Ερευνητές κυβερνοασφάλειας έχουν συνδέσει την εκμετάλλευση του CVE-2025-0282 με το οικοσύστημα κακόβουλου λογισμικού SPAWN, το οποίο περιλαμβάνει στοιχεία όπως:

  • ΦΥΤΟΚΙΝΗΤΟΣ
  • SPAWNMOLE
  • ΝΥΧΥΡΟ ΣΦΑΝΙΔΑΣ

Αυτό το οικοσύστημα έχει αποδοθεί στην UNC5337, μια ομάδα κατασκοπείας της Κίνας-nexus γνωστή για τις επιχειρήσεις κατασκοπείας στον κυβερνοχώρο.

SPAWNCHIMERA: The Evolved Threat

Μια αξιοσημείωτη εξέλιξη στην αλυσίδα επίθεσης είναι η παραλλαγή SPAWNCHIMERA, η οποία ενοποιεί τις μεμονωμένες μονάδες SPAWN σε ένα ενιαίο μονολιθικό κακόβουλο λογισμικό. Αυτή η έκδοση εισάγει μια σημαντική βελτίωση:

  • Επικοινωνία μεταξύ διεργασιών μέσω υποδοχών τομέα UNIX
  • Επιδιόρθωση του CVE-2025-0282 για να αποτρέψει τους ανταγωνιστές απειλές να αξιοποιήσουν την ίδια ευπάθεια

REURGE: A Step Beyond SPAWNCHIMERA

Η τελευταία επανάληψη, RESURGE ('libdsupgrade.so'), επεκτείνεται στο SPAWNCHIMERA με τρεις πρόσθετες εντολές:

  • Persistence & System Manipulation : Εισάγεται στο 'ld.so.preload', δημιουργεί ένα κέλυφος Web, αλλάζει τους ελέγχους ακεραιότητας και τροποποιεί τα αρχεία.
  • Credential & Privilege Exploitation – Επιτρέπει τη χρήση του κελύφους Ιστού για συλλογή διαπιστευτηρίων, δημιουργία λογαριασμού, επαναφορά κωδικού πρόσβασης και κλιμάκωση προνομίων.
  • Boot Persistence – Αντιγράφει το κέλυφος Web στον δίσκο εκκίνησης που εκτελείται Ivanti και τροποποιεί την εικόνα της βασικής εκκίνησης για να εξασφαλίσει μακροπρόθεσμη πρόσβαση.

Πρόσθετα ευρήματα: SPAWNSLOTH και DSMain

Οι ερευνητές έχουν επίσης εντοπίσει δύο πρόσθετα τεχνουργήματα κακόβουλου λογισμικού από μια παραβιασμένη συσκευή ICS εντός κρίσιμης υποδομής:

  • SPAWNSLOTH («liblogblock.so») – Μια παραλλαγή ενσωματωμένη στο RESURGE που χειρίζεται τα αρχεία καταγραφής συσκευών Ivanti για να καλύψει κομμάτια.
  • DSMain – Ένα προσαρμοσμένο δυαδικό 64-bit Linux ELF που περιέχει ένα σενάριο κελύφους ανοιχτού κώδικα και στοιχεία από το BusyBox, επιτρέποντας την εξαγωγή πυρήνα και περαιτέρω συμβιβασμό του συστήματος.

Zero-Day Exploitation από Another Threat Actor

Συγκεκριμένα, το CVE-2025-0282 έχει επίσης εκμεταλλευτεί ως μηδενική ημέρα από τον Silk Typhoon (πρώην Hafnium ), μια άλλη ομάδα κυβερνοκατασκοπείας που συνδέεται με την Κίνα. Αυτό υπογραμμίζει την υψηλή αξία αυτής της ευπάθειας μεταξύ των φορέων απειλών που χρηματοδοτούνται από το κράτος.

Στρατηγικές Μετριασμού: Μένοντας μπροστά από την Απειλή

Δεδομένης της ταχείας εξέλιξης αυτών των παραλλαγών κακόβουλου λογισμικού, οι οργανισμοί πρέπει να λάβουν άμεση δράση για να προστατεύσουν τις περιπτώσεις Ivanti τους:

  • Ενημερώστε την τελευταία έκδοση για να κλείσετε την ευπάθεια CVE-2025-0282.
  • Επαναφέρετε τα διαπιστευτήρια τόσο για προνομιούχους όσο και για μη προνομιούχους λογαριασμούς.
  • Εναλλαγή κωδικών πρόσβασης για όλους τους λογαριασμούς τομέα και τοπικούς λογαριασμούς.
  • Ελέγξτε τις πολιτικές πρόσβασης και ανακαλέστε προσωρινά τα προνόμια για τις επηρεαζόμενες συσκευές.
  • Το μόνιτορ καταγράφει τυχόν σημάδια ανώμαλης δραστηριότητας.

    • Καθώς οι επιτιθέμενοι βελτιώνουν ενεργά τις τεχνικές τους, τα προληπτικά αμυντικά μέτρα είναι απαραίτητα για τη διαφύλαξη ζωτικής σημασίας υποδομής και ευαίσθητων δεδομένων.

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    28,797
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...