RESURGE ļaunprātīga programmatūra
Pētnieki ir atklājuši jaunu ļaunprogrammatūras celmu RESURGE, kas tika izmantots uzbrukumos, izmantojot Ivanti Connect Secure (ICS) ierīču tagad laboto drošības ievainojamību. Šī izsmalcinātā ļaunprogrammatūra balstās uz SPAWNCHIMERA ļaunprogrammatūras varianta iespējām, taču tajā ir ieviestas unikālas komandas, kas maina tās darbību.
Satura rādītājs
Daudzpusīgs un draudīgs rīku komplekts
RESURGE nav tikai vienkārša izmantošana — tam ir virkne funkciju, tostarp darbība kā rootkit, dropper, backdoor, bootkit, starpniekserveris un tuneris. Šīs iespējas padara to par lielisku rīku uzbrucējiem, kuri vēlas saglabāt noturību un kontroli pār apdraudētām sistēmām.
Izmantotā ievainojamība: CVE-2025-0282
Ļaunprātīga programmatūra izmanto CVE-2025-0282, uz steku balstītas bufera pārpildes ievainojamības priekšrocības, kas ietekmē vairākus Ivanti produktus, tostarp:
- Ivanti Connect Secure (pirms versijas 22.7R2.5)
- Ivanti Policy Secure (pirms versijas 22.7R1.2)
- Ivanti Neurons for ZTA Gateways (pirms versijas 22.7R2.3)
Šis trūkums nodrošina attālinātu koda izpildi, ļaujot uzbrucējiem izvietot sarežģītu ļaunprātīgu programmatūru, piemēram, RESURGE.
SPAWN ļaunprātīgas programmatūras ekosistēma
Kiberdrošības pētnieki ir saistījuši CVE-2025-0282 izmantošanu ar ļaunprogrammatūras SPAWN ekosistēmu, kurā ietilpst tādi komponenti kā:
- NĀRSTS
- NĪRSTUMS
- NĀRSTSGIEMELIS
Šī ekosistēma ir attiecināta uz UNC5337 — ar Ķīnu saistīta spiegošanas grupa, kas pazīstama ar kiberspiegošanas operācijām.
SPAWNCHIMERA: Attīstītie draudi
Ievērojama attīstība uzbrukuma ķēdē ir SPAWNCHIMERA variants, kas apvieno atsevišķus SPAWN moduļus vienā monolītā ļaunprogrammatūrā. Šī versija ievieš nozīmīgu uzlabojumu:
- Starpprocesu komunikācija, izmantojot UNIX domēna ligzdas
- CVE-2025-0282 labošana, lai novērstu to, ka konkurējošie draudu dalībnieki izmanto to pašu ievainojamību
RESURGE: solis tālāk par SPAWNCHIMERA
Jaunākā iterācija RESURGE ('libdsupgrade.so') paplašina SPAWNCHIMERA ar trīs papildu komandām:
- Noturība un sistēmas manipulācijas : tā ievieto sevi 'ld.so.preload', izveido Web apvalku, maina integritātes pārbaudes un modificē failus.
- Akreditācijas datu un privilēģiju izmantošana — iespējo tīmekļa čaulas izmantošanu akreditācijas datu iegūšanai, konta izveidei, paroles atiestatīšanai un privilēģiju eskalācijai.
- Sāknēšanas noturība — kopē Web apvalku Ivanti palaistajā sāknēšanas diskā un modificē pamata sāknēšanas attēlu, lai nodrošinātu ilgtermiņa piekļuvi.
Papildu atklājumi: SPAWNSLOTH un DMain
Pētnieki ir arī identificējuši divus papildu ļaunprātīgas programmatūras artefaktus no apdraudētas ICS ierīces kritiskās infrastruktūras ietvaros.
- SPAWNSLOTH ('liblogblock.so') — RESURGE iegults variants, kas manipulē ar Ivanti ierīces žurnāliem, lai segtu ierakstus.
- DSMain — pielāgots 64 bitu Linux ELF binārs, kas satur atvērtā koda čaulas skriptu un komponentus no BusyBox, ļaujot iegūt kodolu un veikt turpmākus sistēmas kompromisus.
Nulles dienas ekspluatācija, ko veicis cits draudu aktieris
Proti, CVE-2025-0282 kā nulles dienu ir izmantojis arī Silk Typhoon (iepriekš Hafnium ), cita ar Ķīnu saistīta kiberspiegošanas grupa. Tas uzsver šīs ievainojamības augsto vērtību valsts sponsorēto apdraudējuma dalībnieku vidū.
Seku mazināšanas stratēģijas: apsteidzot draudus
Ņemot vērā šo ļaunprātīgās programmatūras variantu straujo attīstību, organizācijām nekavējoties jārīkojas, lai aizsargātu savus Ivanti gadījumus:
- Ielāpojiet jaunāko versiju, lai aizvērtu ievainojamību CVE-2025-0282.
- Atiestatiet akreditācijas datus gan priviliģētajiem, gan nepriviliģētajiem kontiem.
- Pagrieziet visu domēnu un vietējo kontu paroles.
- Pārskatiet piekļuves politikas un īslaicīgi atsauciet ietekmēto ierīču privilēģijas.
- Pārraugiet kontus, lai atklātu jebkādas anomālas aktivitātes pazīmes.
Uzbrucējiem aktīvi uzlabojot savas metodes, proaktīvi aizsardzības pasākumi ir būtiski svarīgi, lai aizsargātu kritisko infrastruktūru un sensitīvus datus.
