RESURGE Malware
A kutatók egy új rosszindulatú programtörzset, a RESURGE-t fedezték fel, amelyet az Ivanti Connect Secure (ICS) készülékek már javított biztonsági rését kihasználó támadások során alkalmaztak. Ez a kifinomult rosszindulatú program a SPAWNCHIMERA malware változatának képességeire épít, de egyedi parancsokat vezet be, amelyek módosítják a viselkedését.
Tartalomjegyzék
Sokoldalú és fenyegető eszköztár
A RESURGE nem csupán egy egyszerű kizsákmányolás – számos funkcióval rendelkezik, többek között rootkitként, dropperként, hátsó ajtóként, indítókészletként, proxyként és tunnelerként működik. Ezek a képességek nagyszerű eszközzé teszik a támadók számára, akik meg akarják őrizni a kitartást és az irányítást a feltört rendszerek felett.
A kihasznált biztonsági rés: CVE-2025-0282
A rosszindulatú program kihasználja a CVE-2025-0282, egy veremalapú puffertúlcsordulási sebezhetőséget, amely több Ivanti terméket érint, többek között:
- Ivanti Connect Secure (22.7R2.5 verzió előtt)
- Ivanti Policy Secure (22.7R1.2 verzió előtt)
- Ivanti Neurons a ZTA Gatewayshez (22.7R2.3 verzió előtt)
Ez a hiba lehetővé teszi a távoli kódfuttatást, így a támadók olyan kifinomult rosszindulatú programokat telepíthetnek, mint a RESURGE.
A SPAWN malware ökoszisztéma
A kiberbiztonsági kutatók összekapcsolták a CVE-2025-0282 kiaknázását a rosszindulatú programok SPAWN ökoszisztémájával, amely olyan összetevőket tartalmaz, mint:
- SPAWNANT
- SPAWNMOLE
- ÍRÓCSIGA
Ezt az ökoszisztémát az UNC5337-nek, a kínai-nexus kémcsoportnak tulajdonították, amely kiberkémkedési műveleteiről ismert.
SPAWNCHIMERA: The Evolved Threat
A támadási lánc figyelemre méltó fejlesztése a SPAWNCHIMERA változat, amely az egyes SPAWN modulokat egyetlen monolitikus kártevővé egyesíti. Ez a verzió jelentős fejlesztést vezet be:
- Folyamatok közötti kommunikáció UNIX tartományi socketeken keresztül
- A CVE-2025-0282 javítása annak megakadályozására, hogy a rivális fenyegetés szereplői kihasználják ugyanazt a sebezhetőséget
RESURGE: A Step Beyond SPAWNCHIMERA
A legújabb iteráció, a RESURGE ('libdsupgrade.so'), három további paranccsal bővíti a SPAWNCHIMERA-t:
- Perzisztencia és rendszermanipuláció : Beilleszti magát az 'ld.so.preload' fájlba, beállít egy webhéjat, módosítja az integritás ellenőrzéseket és módosítja a fájlokat.
- Hitelesítési adatok és jogosultságok kiaknázása – Lehetővé teszi a webes shell használatát a hitelesítő adatok begyűjtéséhez, fiókok létrehozásához, jelszavak visszaállításához és a jogosultságok kiterjesztéséhez.
- Boot Persistence – Átmásolja a webhéjat az Ivanti futó rendszerindító lemezére, és módosítja a coreboot lemezképet a hosszú távú hozzáférés biztosítása érdekében.
További megállapítások: SPAWNSLOTH és DMain
A kutatók két további kártevőt is azonosítottak egy feltört ICS-eszközről a kritikus infrastruktúrán belül:
- SPAWNSLOTH ('liblogblock.so') – A RESURGE-ba beágyazott változat, amely manipulálja az Ivanti eszköznaplóit, hogy lefedje a nyomokat.
- DSMain – Egy egyedi 64 bites Linux ELF bináris fájl, amely nyílt forráskódú shell szkriptet és BusyBox összetevőket tartalmaz, lehetővé téve a kernel kibontását és a rendszer további kompromittálását.
Nulladik napi kizsákmányolás egy másik fenyegető színésztől
Nevezetesen, a CVE-2025-0282-t nulladik napként használta ki a Silk Typhoon (korábban Hafnium ), egy másik Kínához kötődő kiberkémcsoport. Ez alátámasztja ennek a sebezhetőségnek az államilag támogatott fenyegetések szereplői körében fennálló nagy értékét.
Mérséklési stratégiák: Maradjunk a veszély előtt
Tekintettel a rosszindulatú programváltozatok gyors fejlődésére, a szervezeteknek azonnali lépéseket kell tenniük Ivanti példányaik védelmében:
- Javítsa a legújabb verzióra a CVE-2025-0282 biztonsági rést.
- Állítsa vissza a jogosultságokkal rendelkező és nem jogosult fiókok hitelesítő adatait.
- Forgassa el az összes tartományi és helyi fiók jelszavát.
Mivel a támadók aktívan finomítják technikáikat, a proaktív védelmi intézkedések elengedhetetlenek a kritikus infrastruktúra és az érzékeny adatok védelméhez.
