הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) תוכנה זדונית RESURGE

תוכנה זדונית RESURGE

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנה זדונית
לתרגם ל:
עברית

חוקרים חשפו זן תוכנות זדוניות חדש, RESURGE, שנפרס בהתקפות תוך ניצול פגיעות אבטחה שתוקנה כעת במכשירי Ivanti Connect Secure (ICS). תוכנה זדונית מתוחכמת זו מתבססת על היכולות של גרסת התוכנה הזדונית SPAWNCHIMERA אך מציגה פקודות ייחודיות שמשנות את ההתנהגות שלה.

ערכת כלים רב תכליתית ומאיימת

RESURGE הוא לא רק ניצול פשוט - יש לו מגוון פונקציות, כולל פעולה כ-rootkit, dropper, backdoor, bootkit, proxy ו-tunneler. היכולות הללו הופכות אותו לכלי אדיר עבור תוקפים המעוניינים לשמור על התמדה ושליטה על מערכות שנפגעו.

הפגיעות המנוצלת: CVE-2025-0282

התוכנה הזדונית מנצלת את היתרונות של CVE-2025-0282, פגיעות של הצפת מאגר מבוססת מחסנית המשפיעה על מספר מוצרי Ivanti, כולל:

  • Ivanti Connect Secure (לפני גרסה 22.7R2.5)
  • Ivanti Policy Secure (לפני גרסה 22.7R1.2)
  • Ivanti Neurons עבור ZTA Gateways (לפני גרסה 22.7R2.3)

פגם זה מאפשר ביצוע קוד מרחוק, ומאפשר לתוקפים לפרוס תוכנות זדוניות מתוחכמות כמו RESURGE.

מערכת האקולוגית של תוכנות זדוניות SPAWN

חוקרי אבטחת סייבר קישרו את ניצול CVE-2025-0282 למערכת האקולוגית SPAWN של תוכנות זדוניות, הכוללת רכיבים כגון:

  • SPAWNANT
  • SPAWNMOLE
  • SPAWNSNAIL

מערכת אקולוגית זו יוחסה ל-UNC5337, קבוצת ריגול הקשורה לסין הידועה בפעולות ריגול סייבר.

SPAWNCHIMERA: האיום המתפתח

התפתחות בולטת בשרשרת ההתקפה היא גרסת SPAWNCHIMERA, המאחדת את מודולי SPAWN הבודדים לתוכנה זדונית מונוליטית אחת. גרסה זו מציגה שיפור משמעותי:

  • תקשורת בין תהליכים באמצעות שקעי תחום UNIX
  • תיקון של CVE-2025-0282 כדי למנוע משחקני איומים יריבים למנף את אותה פגיעות

RESURGE: צעד מעבר ל-SPAWNCHIMERA

האיטרציה האחרונה, RESURGE ('libdsupgrade.so'), מתרחבת על SPAWNCHIMERA עם שלוש פקודות נוספות:

  • התמדה ומניפולציה של המערכת : הוא מכניס את עצמו לתוך 'ld.so.preload', מגדיר מעטפת אינטרנט, משנה בדיקות תקינות ומשנה קבצים.
  • ניצול אישורים והרשאות - מאפשר שימוש במעטפת אינטרנט עבור קצירת אישורים, יצירת חשבון, איפוס סיסמה והסלמה של הרשאות.
  • התמדה באתחול - מעתיק את מעטפת האינטרנט לדיסק האתחול הפועל של Ivanti ומשנה את תמונת coreboot כדי להבטיח גישה לטווח ארוך.

ממצאים נוספים: SPAWNSLOTH ו-DSMain

חוקרים זיהו גם שני חפצי תוכנה זדוניים נוספים ממכשיר ICS שנפגע בתוך תשתית קריטית:

  • SPAWNSLOTH ('liblogblock.so') - וריאנט מוטמע בתוך RESURGE שמתמרן את יומני מכשירי Ivanti כדי לכסות מסלולים.
  • DSMain - בינארי מותאם אישית של 64 סיביות Linux ELF המכיל סקריפט מעטפת קוד פתוח ורכיבים מ-BusyBox, המאפשרים חילוץ ליבה ופגיעה נוספת במערכת.

ניצול יום אפס על ידי שחקן איום אחר

יש לציין, CVE-2025-0282 נוצל גם כיום אפס על ידי טייפון המשי (לשעבר Hafnium ), עוד קבוצת ריגול סייבר הקשורה לסין. זה מדגיש את הערך הגבוה של פגיעות זו בקרב גורמי איומים בחסות המדינה.

אסטרטגיות הפחתה: הישארות לפני האיום

לאור ההתפתחות המהירה של גרסאות תוכנות זדוניות אלה, ארגונים חייבים לנקוט בפעולה מיידית כדי להגן על מופעי Ivanti שלהם:

  • תיקון לגרסה העדכנית ביותר כדי לסגור את הפגיעות של CVE-2025-0282.
  • אפס אישורים עבור חשבונות מורשים וחשבונות שאינם מורשים.
  • סובב סיסמאות עבור כל הדומיין והחשבונות המקומיים.
  • סקור את מדיניות הגישה ובטל זמנית הרשאות עבור מכשירים מושפעים.
  • עקוב אחר חשבונות עבור כל סימן של פעילות חריגה.

    • כאשר התוקפים משכללים את הטכניקות שלהם באופן אקטיבי, אמצעי הגנה פרואקטיביים חיוניים לשמירה על תשתית קריטית ונתונים רגישים.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    28,797
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...