RESURGE Malware

محققان یک نوع بدافزار جدید به نام RESURGE را کشف کرده‌اند که در حملاتی با سوءاستفاده از آسیب‌پذیری امنیتی اصلاح‌شده در دستگاه‌های Ivanti Connect Secure (ICS) استفاده شده است. این بدافزار پیچیده مبتنی بر قابلیت‌های نوع بدافزار SPAWNCHIMERA است، اما دستورات منحصر به فردی را معرفی می‌کند که رفتار آن را تغییر می‌دهد.

یک جعبه ابزار همه کاره و تهدید کننده

RESURGE فقط یک اکسپلویت ساده نیست - دارای طیف وسیعی از عملکردها، از جمله عمل کردن به عنوان یک روت کیت، قطره چکان، درب پشتی، بوت کیت، پروکسی و تونل کننده است. این قابلیت ها آن را به ابزاری قدرتمند برای مهاجمانی تبدیل می کند که به دنبال حفظ پایداری و کنترل بر روی سیستم های در معرض خطر هستند.

آسیب پذیری مورد سوء استفاده: CVE-2025-0282

این بدافزار از CVE-2025-0282 استفاده می کند، یک آسیب پذیری سرریز بافر مبتنی بر پشته که بر چندین محصول Ivanti تأثیر می گذارد، از جمله:

• Ivanti Connect Secure (قبل از نسخه 22.7R2.5)
• Ivanti Policy Secure (قبل از نسخه 22.7R1.2)
• Ivanti Neurons برای ZTA Gateways (قبل از نسخه 22.7R2.3)

این نقص اجرای کد از راه دور را فعال می‌کند و به مهاجمان اجازه می‌دهد بدافزار پیچیده‌ای مانند RESURGE را مستقر کنند.

اکوسیستم بدافزار SPAWN

محققان امنیت سایبری، بهره برداری CVE-2025-0282 را به اکوسیستم بدافزار SPAWN، که شامل اجزایی مانند:

• تخمگذار
• مول اسپاون
• SPAWNSNAIL

این اکوسیستم به UNC5337 نسبت داده شده است، یک گروه جاسوسی چین-nexus که به دلیل عملیات جاسوسی سایبری شناخته شده است.

SPAWNCHIMERA: تهدید تکامل یافته

یک پیشرفت قابل توجه در زنجیره حمله، نوع SPAWNCHIMERA است که ماژول های SPAWN منفرد را در یک بدافزار یکپارچه ادغام می کند. این نسخه یک پیشرفت قابل توجه را معرفی می کند:

• ارتباط بین فرآیندی از طریق سوکت های دامنه یونیکس
• وصله CVE-2025-0282 برای جلوگیری از نفوذ عوامل تهدید کننده رقیب از همان آسیب پذیری

REURGE: یک قدم فراتر از SPAWNCHIMERA

آخرین تکرار، RESURGE ('libdsupgrade.so')، در SPAWNCHIMERA با سه دستور اضافی گسترش می یابد:

• پایداری و دستکاری سیستم : خود را در "ld.so.preload" قرار می دهد، یک پوسته وب راه اندازی می کند، بررسی های یکپارچگی را تغییر می دهد و فایل ها را اصلاح می کند.
• Credential & Privilege Exploitation – استفاده از پوسته وب را برای جمع آوری اعتبار، ایجاد حساب کاربری، بازنشانی رمز عبور و افزایش امتیازات را فعال می کند.
• Boot Persistence – پوسته وب را روی دیسک راه‌اندازی در حال اجرا Ivanti کپی می‌کند و تصویر coreboot را برای اطمینان از دسترسی طولانی‌مدت تغییر می‌دهد.

یافته های اضافی: SPAWNSLOTH و DSMain

محققان همچنین دو مصنوع بدافزار اضافی را از یک دستگاه ICS در معرض خطر در زیرساخت‌های حیاتی شناسایی کرده‌اند:

• SPAWNSLOTH ('liblogblock.so') - گونه ای تعبیه شده در RESURGE که لاگ های دستگاه ایوانتی را دستکاری می کند تا آهنگ ها را پوشش دهد.
• DSMain - یک باینری لینوکس ELF 64 بیتی سفارشی که حاوی اسکریپت پوسته منبع باز و اجزای BusyBox است که استخراج هسته و به خطر افتادن بیشتر سیستم را ممکن می کند.

بهره برداری روز صفر توسط بازیگر تهدید دیگری

نکته قابل توجه، CVE-2025-0282 همچنین به عنوان یک روز صفر توسط طوفان ابریشم ( هافنیوم سابق)، یکی دیگر از گروه‌های جاسوسی سایبری مرتبط با چین، مورد سوء استفاده قرار گرفته است. این امر بر ارزش بالای این آسیب پذیری در میان عوامل تهدید حمایت شده توسط دولت تأکید می کند.

استراتژی های کاهش: جلوتر بودن از تهدید

با توجه به تکامل سریع این گونه‌های بدافزار، سازمان‌ها باید اقدامات فوری برای محافظت از نمونه‌های Ivanti خود انجام دهند:

• برای بستن آسیب‌پذیری CVE-2025-0282 به آخرین نسخه وصله کنید.
• اعتبارنامه ها را برای حساب های دارای امتیاز و غیرمجاز بازنشانی کنید.
• گذرواژه‌ها را برای همه حساب‌های دامنه و محلی بچرخانید.

• خط‌مشی‌های دسترسی را مرور کنید و امتیازات دستگاه‌های آسیب‌دیده را به‌طور موقت لغو کنید.

• مانیتور هرگونه نشانه ای از فعالیت غیرعادی را حساب می کند.

با توجه به اینکه مهاجمان به طور فعال تکنیک های خود را اصلاح می کنند، اقدامات دفاعی پیشگیرانه برای حفاظت از زیرساخت های حیاتی و داده های حساس ضروری است.