RESURGE Malware
Penyelidik telah menemui ketegangan perisian hasad baharu, RESURGE, yang telah digunakan dalam serangan yang mengeksploitasi kelemahan keselamatan yang telah ditambal sekarang dalam peralatan Ivanti Connect Secure (ICS). Malware yang canggih ini dibina berdasarkan keupayaan varian malware SPAWNCHIMERA tetapi memperkenalkan perintah unik yang mengubah suai tingkah lakunya.
Isi kandungan
Kit Alat Serbaguna dan Mengancam
RESURGE bukan sekadar eksploitasi mudah—ia mempunyai pelbagai fungsi, termasuk bertindak sebagai rootkit, penitis, pintu belakang, bootkit, proksi dan tunneler. Keupayaan ini menjadikannya alat yang hebat untuk penyerang yang ingin mengekalkan kegigihan dan kawalan ke atas sistem yang terjejas.
Kerentanan yang Dieksploitasi: CVE-2025-0282
Perisian hasad mengambil kesempatan daripada CVE-2025-0282, kerentanan limpahan penimbal berasaskan tindanan yang menjejaskan berbilang produk Ivanti, termasuk:
- Ivanti Connect Secure (sebelum versi 22.7R2.5)
- Ivanti Policy Secure (sebelum versi 22.7R1.2)
- Ivanti Neurons untuk Gerbang ZTA (sebelum versi 22.7R2.3)
Cacat ini membolehkan pelaksanaan kod jauh, membolehkan penyerang menggunakan perisian hasad yang canggih seperti RESURGE.
Ekosistem Hasad SPAWN
Penyelidik keselamatan siber telah mengaitkan eksploitasi CVE-2025-0282 kepada ekosistem perisian hasad SPAWN, yang merangkumi komponen seperti:
- BERPANTANG
- SPAWNMOLE
- SPAWNSNAIL
Ekosistem ini telah dikaitkan dengan UNC5337, kumpulan pengintipan China-nexus yang terkenal dengan operasi pengintipan siber.
SPAWNCHIMERA: Ancaman Berevolusi
Perkembangan ketara dalam rantaian serangan ialah varian SPAWNCHIMERA, yang menyatukan modul SPAWN individu menjadi satu perisian hasad monolitik. Versi ini memperkenalkan peningkatan yang ketara:
- Komunikasi antara proses melalui soket domain UNIX
- Penampalan CVE-2025-0282 untuk menghalang pelakon ancaman saingan daripada memanfaatkan kelemahan yang sama
RESURGE: Satu Langkah Melangkaui SPAWNCHIMERA
Lelaran terkini, RESURGE ('libdsupgrade.so'), berkembang pada SPAWNCHIMERA dengan tiga arahan tambahan:
- Kegigihan & Manipulasi Sistem : Ia memasukkan dirinya ke dalam 'ld.so.preload', menyediakan cangkerang Web, mengubah semakan integriti dan mengubah suai fail.
- Eksploitasi Kredensial & Keistimewaan – Mendayakan penggunaan cangkerang Web untuk penuaian kelayakan, penciptaan akaun, penetapan semula kata laluan dan peningkatan keistimewaan.
- Kegigihan Boot – Menyalin cangkerang Web ke cakera but berjalan Ivanti dan mengubah suai imej coreboot untuk memastikan akses jangka panjang.
Penemuan Tambahan: SPAWNSLOTH dan DSMmain
Penyelidik juga telah mengenal pasti dua artifak perisian hasad tambahan daripada peranti ICS yang terjejas dalam infrastruktur kritikal:
- SPAWNSLOTH ('liblogblock.so') – Varian yang dibenamkan dalam RESURGE yang memanipulasi log peranti Ivanti untuk menutup trek.
- DSMmain – Binari Linux ELF 64-bit tersuai yang mengandungi skrip shell sumber terbuka dan komponen daripada BusyBox, membolehkan pengekstrakan kernel dan kompromi sistem selanjutnya.
Eksploitasi Sifar Hari oleh Pelakon Ancaman Lain
Terutama, CVE-2025-0282 juga telah dieksploitasi sebagai hari sifar oleh Taufan Sutera (dahulunya Hafnium ), satu lagi kumpulan pengintipan siber berkaitan China. Ini menggariskan nilai tinggi kerentanan ini dalam kalangan pelaku ancaman tajaan kerajaan.
Strategi Mitigasi: Kekal Mendahului Ancaman
Memandangkan evolusi pesat varian perisian hasad ini, organisasi mesti mengambil tindakan segera untuk melindungi kejadian Ivanti mereka:
- Tampal kepada versi terkini untuk menutup kerentanan CVE-2025-0282.
- Tetapkan semula bukti kelayakan untuk kedua-dua akaun istimewa dan tidak istimewa.
- Putar kata laluan untuk semua domain dan akaun setempat.
Dengan penyerang secara aktif memperhalusi teknik mereka, langkah pertahanan proaktif adalah penting untuk melindungi infrastruktur kritikal dan data sensitif.
