RESURGE Malware

शोधकर्ताओं ने एक नए मैलवेयर स्ट्रेन, RESURGE का पता लगाया है, जिसे इवान्टी कनेक्ट सिक्योर (ICS) उपकरणों में अब पैच की गई सुरक्षा भेद्यता का फायदा उठाकर हमलों में तैनात किया गया है। यह परिष्कृत मैलवेयर SPAWNCHIMERA मैलवेयर वैरिएंट की क्षमताओं पर आधारित है, लेकिन इसमें ऐसे अनोखे कमांड शामिल हैं जो इसके व्यवहार को संशोधित करते हैं।

एक बहुमुखी और ख़तरनाक टूलकिट

RESURGE सिर्फ़ एक साधारण शोषण नहीं है - इसमें कई तरह की कार्यक्षमताएँ हैं, जिसमें रूटकिट, ड्रॉपर, बैकडोर, बूटकिट, प्रॉक्सी और टनलर के रूप में कार्य करना शामिल है। ये क्षमताएँ इसे हमलावरों के लिए एक दुर्जेय उपकरण बनाती हैं जो समझौता किए गए सिस्टम पर दृढ़ता और नियंत्रण बनाए रखना चाहते हैं।

शोषित भेद्यता: CVE-2025-0282

मैलवेयर CVE-2025-0282 का लाभ उठाता है, जो एक स्टैक-आधारित बफर ओवरफ्लो भेद्यता है जो कई इवान्टी उत्पादों को प्रभावित करती है, जिनमें शामिल हैं:

• इवान्टी कनेक्ट सिक्योर (संस्करण 22.7R2.5 से पहले)
• इवान्ति पॉलिसी सिक्योर (संस्करण 22.7R1.2 से पहले)
• ZTA गेटवे के लिए इवान्टी न्यूरॉन्स (संस्करण 22.7R2.3 से पहले)

यह दोष दूरस्थ कोड निष्पादन को सक्षम बनाता है, जिससे हमलावरों को RESURGE जैसे परिष्कृत मैलवेयर को तैनात करने का मौका मिल जाता है।

स्पॉन मैलवेयर इकोसिस्टम

साइबर सुरक्षा शोधकर्ताओं ने CVE-2025-0282 शोषण को मैलवेयर के SPAWN पारिस्थितिकी तंत्र से जोड़ा है, जिसमें निम्नलिखित घटक शामिल हैं:

• स्पॉनन्ट
• स्पॉनमोल
• स्पॉन्सनेल

इस पारिस्थितिकी तंत्र का श्रेय UNC5337 को दिया जाता है, जो एक चीन-गठबंधन जासूसी समूह है, जो साइबर जासूसी कार्यों के लिए जाना जाता है।

स्पॉन्चीमेरा: विकसित खतरा

हमले की श्रृंखला में एक उल्लेखनीय विकास SPAWNCHIMERA संस्करण है, जो अलग-अलग SPAWN मॉड्यूल को एक एकल अखंड मैलवेयर में एकीकृत करता है। यह संस्करण एक महत्वपूर्ण संवर्द्धन प्रस्तुत करता है:

• UNIX डोमेन सॉकेट के माध्यम से अंतर-प्रक्रिया संचार
• CVE-2025-0282 की पैचिंग, ताकि प्रतिद्वंद्वी खतरा पैदा करने वाले तत्वों को उसी भेद्यता का लाभ उठाने से रोका जा सके

रिसर्ज: स्पॉन्चीमेरा से एक कदम आगे

नवीनतम संस्करण, RESURGE ('libdsupgrade.so'), तीन अतिरिक्त कमांड के साथ SPAWNCHIMERA का विस्तार करता है:

• दृढ़ता और सिस्टम हेरफेर : यह स्वयं को 'ld.so.preload' में सम्मिलित करता है, एक वेब शेल स्थापित करता है, अखंडता जांच को बदलता है और फ़ाइलों को संशोधित करता है।
• क्रेडेंशियल और विशेषाधिकार शोषण - क्रेडेंशियल हार्वेस्टिंग, खाता निर्माण, पासवर्ड रीसेट और विशेषाधिकार वृद्धि के लिए वेब शेल उपयोग को सक्षम करता है।
• बूट दृढ़ता - वेब शेल को इवान्टी रनिंग बूट डिस्क पर कॉपी करता है और दीर्घकालिक पहुंच सुनिश्चित करने के लिए कोरबूट छवि को संशोधित करता है।

अतिरिक्त निष्कर्ष: SPAWNSLOTH और DSMain

शोधकर्ताओं ने महत्वपूर्ण बुनियादी ढांचे के भीतर एक समझौता किए गए आईसीएस डिवाइस से दो अतिरिक्त मैलवेयर कलाकृतियों की भी पहचान की है:

• SPAWNSLOTH ('liblogblock.so') - RESURGE के भीतर सन्निहित एक प्रकार जो ट्रैक को कवर करने के लिए Ivanti डिवाइस लॉग में हेरफेर करता है।
• DSMain - एक कस्टम 64-बिट लिनक्स ELF बाइनरी जिसमें ओपन-सोर्स शेल स्क्रिप्ट और BusyBox के घटक शामिल हैं, जो कर्नेल निष्कर्षण और आगे की सिस्टम समझौता को सक्षम करता है।

किसी अन्य ख़तरा अभिनेता द्वारा शून्य-दिवस शोषण

उल्लेखनीय रूप से, CVE-2025-0282 का उपयोग सिल्क टाइफून (पूर्व में हाफनियम ) द्वारा शून्य-दिन के रूप में भी किया गया है, जो चीन से जुड़ा एक अन्य साइबर जासूसी समूह है। यह राज्य प्रायोजित खतरे वाले अभिनेताओं के बीच इस भेद्यता के उच्च मूल्य को रेखांकित करता है।

शमन रणनीतियाँ: खतरे से आगे रहना

इन मैलवेयर वेरिएंट के तेजी से विकास को देखते हुए, संगठनों को अपने इवान्टी इंस्टैंस की सुरक्षा के लिए तत्काल कार्रवाई करनी चाहिए:

• CVE-2025-0282 भेद्यता को बंद करने के लिए नवीनतम संस्करण पर पैच लगाएं।
• विशेषाधिकार प्राप्त और गैर-विशेषाधिकार प्राप्त दोनों खातों के लिए क्रेडेंशियल रीसेट करें।
• सभी डोमेन और स्थानीय खातों के लिए पासवर्ड घुमाएँ।

• पहुँच नीतियों की समीक्षा करें और प्रभावित डिवाइसों के लिए विशेषाधिकार अस्थायी रूप से रद्द करें।

• किसी भी असामान्य गतिविधि के संकेतों पर नज़र रखें।

हमलावरों द्वारा अपनी तकनीकों को सक्रिय रूप से परिष्कृत करने के साथ, महत्वपूर्ण बुनियादी ढांचे और संवेदनशील डेटा की सुरक्षा के लिए सक्रिय रक्षा उपाय आवश्यक हैं।