RESURGE Malware
អ្នកស្រាវជ្រាវបានរកឃើញមេរោគប្រភេទថ្មី RESURGE ដែលត្រូវបានដាក់ពង្រាយក្នុងការវាយប្រហារដែលទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលបានជួសជុលឥឡូវនេះនៅក្នុងឧបករណ៍ Ivanti Connect Secure (ICS) ។ មេរោគស្មុគ្រស្មាញនេះបង្កើតឡើងនៅលើសមត្ថភាពនៃវ៉ារ្យ៉ង់មេរោគ SPAWNCHIMERA ប៉ុន្តែណែនាំពាក្យបញ្ជាតែមួយគត់ដែលកែប្រែឥរិយាបថរបស់វា។
តារាងមាតិកា
កញ្ចប់ឧបករណ៍ដែលអាចប្រើប្រាស់បាន និងគំរាមកំហែង
RESURGE មិនមែនគ្រាន់តែជាការកេងប្រវ័ញ្ចដ៏សាមញ្ញនោះទេ វាមានមុខងារជាច្រើន រួមទាំងការដើរតួជា rootkit, dropper, backdoor, bootkit, proxy និង tunneler ។ សមត្ថភាពទាំងនេះធ្វើឱ្យវាក្លាយជាឧបករណ៍ដ៏គួរឱ្យទាក់ទាញសម្រាប់អ្នកវាយប្រហារដែលកំពុងស្វែងរកការរក្សាភាពស្ថិតស្ថេរ និងការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ច៖ CVE-2025-0282
មេរោគទាញយកអត្ថប្រយោជន៍ពី CVE-2025-0282 ដែលជាភាពងាយរងគ្រោះលើសចំណុះនៃសតិបណ្ដោះអាសន្នដែលប៉ះពាល់ដល់ផលិតផល Ivanti ជាច្រើន រួមទាំង៖
- Ivanti Connect Secure (មុនកំណែ 22.7R2.5)
- Ivanti Policy Secure (មុនកំណែ 22.7R1.2)
- Ivanti Neurons សម្រាប់ ZTA Gateways (មុនកំណែ 22.7R2.3)
គុណវិបត្តិនេះអនុញ្ញាតឱ្យដំណើរការកូដពីចម្ងាយ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយមេរោគដ៏ទំនើបដូចជា RESURGE ជាដើម។
ប្រព័ន្ធអេកូមេរោគ SPAWN
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានភ្ជាប់ការកេងប្រវ័ញ្ច CVE-2025-0282 ទៅនឹងប្រព័ន្ធអេកូ SPAWN នៃមេរោគ ដែលរួមមានសមាសធាតុដូចជា៖
- SPAWNANT
- SPAWNMOLE
- SPAWNSNAIL
ប្រព័ន្ធអេកូឡូស៊ីនេះត្រូវបានកំណត់គុណលក្ខណៈ UNC5337 ជាក្រុមចារកម្មទំនាក់ទំនងរវាងប្រទេសចិនដែលគេស្គាល់សម្រាប់ប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត។
SPAWNCHIMERA: ការគំរាមកំហែងវិវត្ត
ការអភិវឌ្ឍន៍គួរឱ្យកត់សម្គាល់នៅក្នុងខ្សែសង្វាក់វាយប្រហារគឺវ៉ារ្យ៉ង់ SPAWNCHIMERA ដែលបង្រួបបង្រួមម៉ូឌុល SPAWN នីមួយៗទៅជាមេរោគ monolithic តែមួយ។ កំណែនេះណែនាំការកែលម្អយ៉ាងសំខាន់៖
- ការទំនាក់ទំនងអន្តរដំណើរការតាមរយៈរន្ធយូនីក
- ការបំប្លែង CVE-2025-0282 ដើម្បីការពារអ្នកគំរាមកំហែងគូប្រជែងពីការប្រើប្រាស់ភាពងាយរងគ្រោះដូចគ្នា
ការងើបឡើងវិញ៖ ជំហានមួយលើសពី SPAWNCHIMERA
ការធ្វើឡើងវិញចុងក្រោយបំផុត RESURGE ('libdsupgrade.so') ពង្រីកនៅលើ SPAWNCHIMERA ជាមួយនឹងពាក្យបញ្ជាបន្ថែមចំនួនបី៖
- ភាពជាប់លាប់ & ការរៀបចំប្រព័ន្ធ ៖ វាបញ្ចូលខ្លួនវាទៅក្នុង 'ld.so.preload' រៀបចំ Web shell ផ្លាស់ប្តូរការត្រួតពិនិត្យសុចរិតភាព និងកែប្រែឯកសារ។
- ការកេងប្រវ័ញ្ចលើអត្តសញ្ញាណប័ណ្ណ និងសិទ្ធិ - បើកការប្រើប្រាស់សែលគេហទំព័រសម្រាប់ការប្រមូលព័ត៌មាន ការបង្កើតគណនី ការកំណត់ពាក្យសម្ងាត់ឡើងវិញ និងការកើនឡើងសិទ្ធិ។
- Boot Persistence - ចម្លងសែលគេហទំព័រទៅថាសចាប់ផ្ដើមដំណើរការ Ivanti និងកែប្រែរូបភាព coreboot ដើម្បីធានាបាននូវការចូលប្រើរយៈពេលវែង។
ការរកឃើញបន្ថែម៖ SPAWNSLOTH និង DSMain
អ្នកស្រាវជ្រាវក៏បានកំណត់អត្តសញ្ញាណវត្ថុបុរាណ malware ពីរបន្ថែមទៀតពីឧបករណ៍ ICS ដែលត្រូវបានសម្របសម្រួលនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ៖
- SPAWNSLOTH ('liblogblock.so') - វ៉ារ្យ៉ង់ដែលបានបង្កប់នៅក្នុង RESURGE ដែលរៀបចំកំណត់ហេតុឧបករណ៍ Ivanti ដើម្បីគ្របដណ្តប់បទ។
- DSMain - ប្រព័ន្ធគោលពីរ ELF លីនុច 64 ប៊ីតផ្ទាល់ខ្លួនដែលមានស្គ្រីបសែលប្រភពបើកចំហ និងសមាសធាតុពី BusyBox ដែលអនុញ្ញាតឱ្យទាញយកខឺណែល និងការសម្របសម្រួលប្រព័ន្ធបន្ថែមទៀត។
ការកេងប្រវ័ញ្ច Zero-Day ដោយតារាគំរាមកំហែងមួយទៀត
គួរកត់សម្គាល់ថា CVE-2025-0282 ក៏ត្រូវបានកេងប្រវ័ញ្ចជាសូន្យថ្ងៃដោយព្យុះទីហ្វុងសូត្រ (អតីត Hafnium ) ដែលជាក្រុមចារកម្មអ៊ីនធឺណេតដែលភ្ជាប់ជាមួយប្រទេសចិនមួយផ្សេងទៀត។ នេះគូសបញ្ជាក់តម្លៃខ្ពស់នៃភាពងាយរងគ្រោះនេះក្នុងចំណោមតួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋ។
យុទ្ធសាស្រ្ដកាត់បន្ថយ៖ បន្តនៅមុនការគំរាមកំហែង
ដោយសារការវិវត្តន៍យ៉ាងឆាប់រហ័សនៃវ៉ារ្យ៉ង់មេរោគទាំងនេះ អង្គការត្រូវតែចាត់វិធានការជាបន្ទាន់ដើម្បីការពារករណី Ivanti របស់ពួកគេ៖
- បំណះទៅកំណែចុងក្រោយបំផុត ដើម្បីបិទភាពងាយរងគ្រោះ CVE-2025-0282 ។
- កំណត់ព័ត៌មានសម្ងាត់ឡើងវិញសម្រាប់ទាំងគណនីដែលមានសិទ្ធិ និងមិនមានសិទ្ធិ។
- បង្វិលពាក្យសម្ងាត់សម្រាប់ដែន និងគណនីមូលដ្ឋានទាំងអស់។
- ពិនិត្យមើលគោលការណ៍ចូលប្រើប្រាស់ និងដកហូតសិទ្ធិជាបណ្តោះអាសន្នសម្រាប់ឧបករណ៍ដែលរងផលប៉ះពាល់។
- ត្រួតពិនិត្យគណនីសម្រាប់សញ្ញានៃសកម្មភាពមិនប្រក្រតីណាមួយ។
ដោយមានអ្នកវាយប្រហារកែលម្អបច្ចេកទេសរបស់ពួកគេយ៉ាងសកម្ម វិធានការការពារសកម្មគឺមានសារៈសំខាន់ក្នុងការការពារហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ និងទិន្នន័យរសើប។
