RESURGE Haittaohjelma
Tutkijat ovat paljastaneet uuden haittaohjelmakannan, RESURGE, jota on käytetty hyökkäyksissä, joissa hyödynnetään Ivanti Connect Secure (ICS) -laitteiden nyt korjattua tietoturvahaavoittuvuutta. Tämä hienostunut haittaohjelma perustuu SPAWNCHIMERA-haittaohjelmaversion ominaisuuksiin, mutta sisältää ainutlaatuisia komentoja, jotka muokkaavat sen toimintaa.
Sisällysluettelo
Monipuolinen ja uhkaava työkalupakki
RESURGE ei ole vain yksinkertainen hyväksikäyttö - sillä on useita toimintoja, mukaan lukien toimiminen rootkit-, dropper-, takaoven-, bootkit-, välityspalvelimena ja tunnelerina. Nämä ominaisuudet tekevät siitä mahtavan työkalun hyökkääjille, jotka haluavat säilyttää sinnikkyyden ja hallinnan vaarantuneita järjestelmiä kohtaan.
Hyödynnetty haavoittuvuus: CVE-2025-0282
Haittaohjelma hyödyntää CVE-2025-0282:ta, pinopohjaista puskurin ylivuotohaavoittuvuutta, joka vaikuttaa useisiin Ivanti-tuotteisiin, mukaan lukien:
- Ivanti Connect Secure (ennen versiota 22.7R2.5)
- Ivanti Policy Secure (ennen versiota 22.7R1.2)
- Ivanti Neurons for ZTA Gateways (ennen versiota 22.7R2.3)
Tämä virhe mahdollistaa koodin etäsuorittamisen, jolloin hyökkääjät voivat ottaa käyttöön kehittyneitä haittaohjelmia, kuten RESURGE.
SPAWN-haittaohjelmaekosysteemi
Kyberturvallisuustutkijat ovat yhdistäneet CVE-2025-0282:n hyväksikäytön haittaohjelmien SPAWN-ekosysteemiin, joka sisältää mm.
- SPAWNANT
- SPAWNMOLE
- KUTUNAIKA
Tämä ekosysteemi on liitetty UNC5337:ään, Kiinaan liittyvään vakoiluryhmään, joka tunnetaan kybervakoiluoperaatioistaan.
SPAWNCHIMERA: Evolved Threat
Huomattava kehitys hyökkäysketjussa on SPAWNCHIMERA-versio, joka yhdistää yksittäiset SPAWN-moduulit yhdeksi monoliittiseksi haittaohjelmaksi. Tämä versio sisältää merkittävän parannuksen:
- Prosessien välinen viestintä UNIX-verkkoalueen vastakkeiden kautta
- CVE-2025-0282:n korjaus estääkseen kilpailevia uhkatoimijoita hyödyntämästä samaa haavoittuvuutta
RESURGE: A Step Beyond SPAWNCHIMERA
Uusin iteraatio, RESURGE ('libdsupgrade.so'), laajentaa SPAWNCHIMERA kolmella lisäkomennolla:
- Pysyvyys ja järjestelmän manipulointi : Se lisää itsensä tiedostoon 'ld.so.preload', perustaa Web-kuoren, muuttaa eheyden tarkistuksia ja muokkaa tiedostoja.
- Credential & Privilege Exploitation – Mahdollistaa Web-kuoren käytön tunnistetietojen keräämiseen, tilien luomiseen, salasanan nollauksiin ja oikeuksien eskalointiin.
- Boot Persistence (Käynnistyksen pysyvyys) – Kopioi Web-kuoren Ivantin käynnissä olevalle käynnistyslevykkeelle ja muokkaa coreboot-otosta varmistaakseen pitkän käytön.
Lisähavainnot: SPAWNSLOTH ja DMain
Tutkijat ovat myös tunnistaneet kaksi muuta haittaohjelmaartefaktia vaarantuneesta ICS-laitteesta kriittisen infrastruktuurin sisällä:
- SPAWNSLOTH ('liblogblock.so') – RESURGE-sovellukseen upotettu muunnelma, joka käsittelee Ivanti-laitteen lokeja kattamaan jäljet.
- DSMain – Mukautettu 64-bittinen Linux ELF-binaari, joka sisältää avoimen lähdekoodin komentosarjan ja BusyBox-komponentteja, mikä mahdollistaa ytimen purkamisen ja järjestelmän kompromitoinnin.
Toisen uhkanäyttelijän nollapäivän hyväksikäyttö
CVE-2025-0282:ta on myös hyödyntänyt nollapäivänä Silk Typhoon (entinen Hafnium ), toinen Kiinaan liittyvä kybervakoiluryhmä. Tämä korostaa tämän haavoittuvuuden suurta arvoa valtion tukemien uhkatoimijoiden keskuudessa.
Lieventämisstrategiat: Pysy uhan edellä
Näiden haittaohjelmaversioiden nopean kehityksen vuoksi organisaatioiden on ryhdyttävä välittömiin toimiin suojellakseen Ivanti-esiintymiä:
- Korjaa uusimpaan versioon sulkeaksesi CVE-2025-0282-haavoittuvuuden.
- Nollaa sekä etuoikeutettujen että etuoikeutettujen tilien kirjautumistiedot.
- Kierrä kaikkien verkkotunnusten ja paikallisten tilien salasanoja.
- Tarkista pääsykäytännöt ja peruuta tilapäisesti kyseisten laitteiden oikeudet.
- Tarkkaile mahdollisia epänormaalin toiminnan merkkejä.
Kun hyökkääjät kehittävät aktiivisesti tekniikoitaan, ennakoivat puolustustoimenpiteet ovat välttämättömiä kriittisen infrastruktuurin ja arkaluonteisten tietojen turvaamiseksi.
