RESURGE Malware
Istraživači su otkrili novu vrstu zlonamjernog softvera, RESURGE, koji se koristi u napadima koji iskorištavaju sada zakrpanu sigurnosnu ranjivost u Ivanti Connect Secure (ICS) uređajima. Ovaj sofisticirani zlonamjerni softver temelji se na mogućnostima varijante zlonamjernog softvera SPAWNCHIMERA, ali uvodi jedinstvene naredbe koje mijenjaju njegovo ponašanje.
Sadržaj
Svestran i prijeteći alat
RESURGE nije samo jednostavan exploit - on posjeduje niz funkcionalnosti, uključujući djelovanje kao rootkit, dropper, backdoor, bootkit, proxy i tunneler. Ove mogućnosti čine ga izvrsnim alatom za napadače koji žele održati postojanost i kontrolu nad ugroženim sustavima.
Iskorištena ranjivost: CVE-2025-0282
Zlonamjerni softver iskorištava CVE-2025-0282, ranjivost prekoračenja međuspremnika temeljenu na stogu koja utječe na više Ivanti proizvoda, uključujući:
- Ivanti Connect Secure (prije verzije 22.7R2.5)
- Ivanti Policy Secure (prije verzije 22.7R1.2)
- Ivanti Neurons za ZTA Gateways (prije verzije 22.7R2.3)
Ovaj nedostatak omogućuje daljinsko izvršavanje koda, dopuštajući napadačima da implementiraju sofisticirani zlonamjerni softver poput RESURGE.
Ekosustav zlonamjernog softvera SPAWN
Istraživači kibernetičke sigurnosti povezali su iskorištavanje CVE-2025-0282 sa SPAWN ekosustavom zlonamjernog softvera, koji uključuje komponente kao što su:
- MRIJEST
- KRTICA
- MRESTI PUŽ
Ovaj ekosustav pripisan je UNC5337, špijunskoj grupi kineskog neksusa poznatoj po operacijama kibernetičke špijunaže.
SPAWNCHIMERA: Razvijena prijetnja
Značajan razvoj u lancu napada je varijanta SPAWNCHIMERA, koja konsolidira pojedinačne SPAWN module u jedan monolitni malware. Ova verzija uvodi značajno poboljšanje:
- Međuprocesna komunikacija putem UNIX domenskih utičnica
- Krpanje CVE-2025-0282 kako bi se spriječilo suparničke prijetnje da iskoriste istu ranjivost
RESURGE: korak dalje od SPAWNCHIMERA
Najnovija iteracija, RESURGE ('libdsupgrade.so'), proširuje SPAWNCHIMERA s tri dodatne naredbe:
- Postojanost i manipulacija sustavom : umeće se u 'ld.so.preload', postavlja web ljusku, mijenja provjere integriteta i modificira datoteke.
- Iskorištavanje vjerodajnica i privilegija – Omogućuje korištenje web-ljuske za prikupljanje vjerodajnica, stvaranje računa, poništavanje lozinki i eskalaciju privilegija.
- Postojanost podizanja – Kopira web ljusku na pokrenutu disketu za pokretanje Ivantija i mijenja coreboot sliku kako bi se osigurao dugoročni pristup.
Dodatni nalazi: SPAWNSLOTH i DSMain
Istraživači su također identificirali dva dodatna artefakta zlonamjernog softvera s kompromitiranog ICS uređaja unutar kritične infrastrukture:
- SPAWNSLOTH ('liblogblock.so') – Varijanta ugrađena u RESURGE koja manipulira zapisima Ivanti uređaja kako bi prikrila tragove.
- DSMain – prilagođena 64-bitna Linux ELF binarna datoteka koja sadrži skriptu ljuske otvorenog koda i komponente iz BusyBoxa, omogućujući ekstrakciju kernela i daljnje ugrožavanje sustava.
Iskorištavanje nultog dana od strane drugog aktera prijetnje
Naime, CVE-2025-0282 također je iskorišten kao zero-day od strane Silk Typhoon (bivši Hafnium ), još jedne grupe za kibernetičku špijunažu povezane s Kinom. Ovo naglašava veliku vrijednost ove ranjivosti među akterima prijetnji koje sponzorira država.
Strategije ublažavanja: ostati ispred prijetnje
S obzirom na brzu evoluciju ovih varijanti zlonamjernog softvera, organizacije moraju poduzeti hitne mjere kako bi zaštitile svoje Ivanti instance:
- Zakrpa na najnoviju verziju kako bi se zatvorila ranjivost CVE-2025-0282.
- Ponovno postavite vjerodajnice za privilegirane i nepovlaštene račune.
- Rotirajte lozinke za sve domenske i lokalne račune.
Uz napadače koji aktivno usavršavaju svoje tehnike, proaktivne obrambene mjere ključne su za zaštitu kritične infrastrukture i osjetljivih podataka.
