RESURGE pahavara
Teadlased on avastanud uue pahavara tüve RESURGE, mida on kasutatud rünnakutes, mis kasutavad ära Ivanti Connect Secure (ICS) seadmete nüüdseks parandatud turvaauku. See keerukas pahavara tugineb SPAWNCHIMERA pahavara variandi võimalustele, kuid sisaldab ainulaadseid käske, mis muudavad selle käitumist.
Sisukord
Mitmekülgne ja ähvardav tööriistakomplekt
RESURGE ei ole lihtsalt lihtne ärakasutamine – sellel on hulk funktsioone, sealhulgas toimimine juurkomplekti, dropperi, tagaukse, alglaadimiskomplektina, puhverserveri ja tunnelerina. Need võimalused muudavad selle suurepäraseks tööriistaks ründajatele, kes soovivad säilitada püsivust ja kontrolli ohustatud süsteemide üle.
Kasutatud haavatavus: CVE-2025-0282
Pahavara kasutab ära CVE-2025-0282, virnapõhist puhvri ületäitumise haavatavust, mis mõjutab mitut Ivanti toodet, sealhulgas:
- Ivanti Connect Secure (enne versiooni 22.7R2.5)
- Ivanti Policy Secure (enne versiooni 22.7R1.2)
- Ivanti Neurons ZTA Gateways (enne versiooni 22.7R2.3)
See viga võimaldab koodi kaugkäivitamist, võimaldades ründajatel juurutada keerukat pahavara, nagu RESURGE.
SPAWN-i pahavara ökosüsteem
Küberturvalisuse teadlased on sidunud CVE-2025-0282 ärakasutamise SPAWN-i pahavara ökosüsteemiga, mis sisaldab selliseid komponente nagu:
- KUDE
- KUDEMURT
- KEEDETIGU
See ökosüsteem on omistatud Hiinaga seotud spionaažirühmale UNC5337, mis on tuntud küberspionaažioperatsioonide poolest.
SPAWNCHIMERA: arenenud oht
Märkimisväärne areng ründeahelas on SPAWNCHIMERA variant, mis koondab üksikud SPAWN-i moodulid üheks monoliitseks pahavaraks. See versioon sisaldab olulist täiustust:
- Protsessidevaheline suhtlus UNIX-i domeeni pesade kaudu
- CVE-2025-0282 parandamine, et takistada konkureerivatel ohus osalejatel sama haavatavust ära kasutamast
RESURGE: A Step Beyond SPAWNCHIMERA
Uusim iteratsioon RESURGE ('libdsupgrade.so') laiendab SPAWNCHIMERA kolme lisakäsuga:
- Püsivus ja süsteemiga manipuleerimine : see sisestab end kausta 'ld.so.preload', seadistab veebikesta, muudab terviklikkuse kontrolli ja muudab faile.
- Mandaatide ja privileegide kasutamine – võimaldab veebikesta kasutamist mandaatide kogumiseks, konto loomiseks, parooli lähtestamiseks ja õiguste eskaleerimiseks.
- Alglaadimise püsivus – kopeerib veebikesta Ivanti töötavale alglaadimiskettale ja muudab põhikäivituse kujutist, et tagada pikaajaline juurdepääs.
Täiendavad leiud: SPAWNSLOTH ja DMain
Teadlased on tuvastanud ka kaks täiendavat pahavara artefakti kriitilises infrastruktuuris ohustatud ICS-seadmest:
- SPAWNSLOTH ('liblogblock.so') – RESURGE'i manustatud variant, mis manipuleerib Ivanti seadme logidega radade katmiseks.
- DSMain – kohandatud 64-bitine Linuxi ELF-i kahendfail, mis sisaldab avatud lähtekoodiga shelliskripti ja BusyBoxi komponente, võimaldades tuuma ekstraheerimist ja süsteemi edasist kompromissi.
Teise ohunäitleja nullpäeva ekspluateerimine
Nimelt on CVE-2025-0282 nullpäevana ära kasutanud ka teine Hiinaga seotud küberspionaažirühmitus Silk Typhoon (endine Hafnium ). See rõhutab selle haavatavuse suurt väärtust riigi toetatud ohus osalejate seas.
Leevendusstrateegiad: ohust ette jäämine
Arvestades nende pahavaravariantide kiiret arengut, peavad organisatsioonid võtma viivitamatult meetmeid oma Ivanti eksemplaride kaitsmiseks.
- CVE-2025-0282 haavatavuse sulgemiseks parandage uusim versioon.
- Lähtestage nii privilegeeritud kui ka privilegeerimata kontode mandaadid.
- Muutke kõigi domeenide ja kohalike kontode paroole.
- Vaadake üle juurdepääsupoliitikad ja tühistage ajutiselt mõjutatud seadmete õigused.
- Jälgige anomaalse tegevuse märke.
Kuna ründajad täiustavad aktiivselt oma tehnikaid, on ennetavad kaitsemeetmed kriitilise infrastruktuuri ja tundlike andmete kaitsmiseks hädavajalikud.
