RESURGE kenkėjiška programa
Tyrėjai atskleidė naują kenkėjiškų programų atmainą RESURGE, kuri buvo panaudota atakoms, išnaudojant dabar pataisytą saugumo spragą Ivanti Connect Secure (ICS) įrenginiuose. Ši sudėtinga kenkėjiška programa remiasi SPAWNCHIMERA kenkėjiškų programų varianto galimybėmis, tačiau joje yra unikalių komandų, kurios keičia jos elgesį.
Turinys
Universalus ir grėsmingas įrankių rinkinys
RESURGE yra ne tik paprastas išnaudojimas – jis turi daugybę funkcijų, įskaitant rootkit, dropper, galinių durų, įkrovos rinkinio, tarpinio serverio ir tunelio veikimą. Dėl šių galimybių jis yra puikus įrankis užpuolikams, norintiems išlaikyti atkaklumą ir valdyti pažeistas sistemas.
Išnaudojamas pažeidžiamumas: CVE-2025-0282
Kenkėjiška programa naudojasi CVE-2025-0282 – dėklo buferio perpildymo pažeidžiamumu, kuris paveikia kelis „Ivanti“ produktus, įskaitant:
- „Ivanti Connect Secure“ (prieš 22.7R2.5 versiją)
- „Ivanti Policy Secure“ (iki 22.7R1.2 versijos)
- „Ivanti Neurons“, skirta „ZTA Gateways“ (prieš 22.7R2.3 versiją)
Šis trūkumas leidžia nuotoliniu būdu vykdyti kodą, todėl užpuolikai gali įdiegti sudėtingas kenkėjiškas programas, pvz., RESURGE.
SPAWN kenkėjiškų programų ekosistema
Kibernetinio saugumo tyrinėtojai susiejo CVE-2025-0282 išnaudojimą su SPAWN kenkėjiškų programų ekosistema, kuri apima tokius komponentus kaip:
- NERŠTAS
- SPAWNMOLE
- IRKŠTAS
Ši ekosistema buvo priskirta UNC5337, su Kinija susijusiai šnipinėjimo grupei, žinomai dėl kibernetinio šnipinėjimo operacijų.
SPAWNCHIMERA: išsivysčiusi grėsmė
Svarbus atakų grandinės patobulinimas yra SPAWNCHIMERA variantas, kuris sujungia atskirus SPAWN modulius į vieną monolitinę kenkėjišką programą. Šioje versijoje pateikiamas reikšmingas patobulinimas:
- Ryšys tarp procesų per UNIX domeno lizdus
- CVE-2025-0282 pataisymas, kad konkuruojantys grėsmės veikėjai negalėtų panaudoti to paties pažeidžiamumo
RESURGE: Žingsnis už SPAWNCHIMERA
Naujausia iteracija RESURGE („libdsupgrade.so“) išplečia SPAWNCHIMERA trimis papildomomis komandomis:
- Patvarumas ir sistemos manipuliavimas : jis įterpiamas į 'ld.so.preload', nustato žiniatinklio apvalkalą, pakeičia vientisumo patikras ir modifikuoja failus.
- Kredencialų ir privilegijų išnaudojimas – leidžia naudoti žiniatinklio apvalkalą kredencialų rinkimui, paskyros kūrimui, slaptažodžių nustatymui iš naujo ir privilegijų eskalavimui.
- Įkrovos patvarumas – nukopijuoja žiniatinklio apvalkalą į Ivanti veikiantį įkrovos diską ir modifikuoja pagrindinio įkrovos vaizdą, kad būtų užtikrinta ilgalaikė prieiga.
Papildomi atradimai: SPAWNSLOTH ir DMain
Tyrėjai taip pat nustatė du papildomus kenkėjiškų programų artefaktus iš pažeisto ICS įrenginio kritinėje infrastruktūroje:
- SPAWNSLOTH („liblogblock.so“) – RESURGE įterptas variantas, kuris manipuliuoja „Ivanti“ įrenginio žurnalais, kad padengtų takelius.
- „DSMain“ – pasirinktinis 64 bitų „Linux ELF“ dvejetainis failas, kuriame yra atvirojo kodo apvalkalo scenarijus ir „BusyBox“ komponentai, leidžiantys išgauti branduolį ir dar labiau pažeisti sistemą.
Kito grėsmės veikėjo nulinės dienos išnaudojimas
Pažymėtina, kad CVE-2025-0282 kaip nulinę dieną taip pat išnaudojo Šilko taifūnas (anksčiau Hafnium ), kita su Kinija susijusi kibernetinio šnipinėjimo grupė. Tai pabrėžia didelę šio pažeidžiamumo vertę tarp valstybės remiamų grėsmės veikėjų.
Švelninimo strategijos: neaplenkti grėsmės
Atsižvelgiant į sparčią šių kenkėjiškų programų variantų raidą, organizacijos turi nedelsdamos imtis veiksmų, kad apsaugotų savo Ivanti egzempliorius:
- Pataisykite naujausią versiją, kad uždarytumėte CVE-2025-0282 pažeidžiamumą.
- Iš naujo nustatykite privilegijuotų ir neprivilegijuotų paskyrų kredencialus.
- Pakeiskite visų domenų ir vietinių paskyrų slaptažodžius.
- Peržiūrėkite prieigos politiką ir laikinai atšaukkite paveiktų įrenginių privilegijas.
- Stebėkite bet kokius nenormalios veiklos požymius.
Užpuolikams aktyviai tobulinant savo metodus, aktyvios gynybos priemonės yra būtinos norint apsaugoti svarbiausią infrastruktūrą ir neskelbtinus duomenis.
