RESURGE Malware
Forskere har avdekket en ny skadelig programvarestamme, RESURGE, som har blitt utplassert i angrep som utnytter en nå oppdatert sikkerhetssårbarhet i Ivanti Connect Secure (ICS)-enheter. Denne sofistikerte skadevare bygger på egenskapene til SPAWNCHIMERA malware-varianten, men introduserer unike kommandoer som endrer oppførselen.
Innholdsfortegnelse
Et allsidig og truende verktøysett
RESURGE er ikke bare en enkel utnyttelse – den har en rekke funksjoner, inkludert å fungere som et rootkit, dropper, bakdør, bootkit, proxy og tunneler. Disse egenskapene gjør det til et formidabelt verktøy for angripere som ønsker å opprettholde utholdenhet og kontroll over kompromitterte systemer.
Det utnyttede sikkerhetsproblemet: CVE-2025-0282
Skadevaren utnytter CVE-2025-0282, et stabelbasert bufferoverløpssårbarhet som påvirker flere Ivanti-produkter, inkludert:
- Ivanti Connect Secure (før versjon 22.7R2.5)
- Ivanti Policy Secure (før versjon 22.7R1.2)
- Ivanti Neurons for ZTA Gateways (før versjon 22.7R2.3)
Denne feilen muliggjør ekstern kjøring av kode, slik at angripere kan distribuere sofistikert skadelig programvare som RESURGE.
SPAWN Malware-økosystemet
Cybersikkerhetsforskere har knyttet CVE-2025-0282-utnyttelse til SPAWN-økosystemet av skadelig programvare, som inkluderer komponenter som:
- SPAWNANT
- SPAWNMOLE
- SPAWNSNEIL
Dette økosystemet er blitt tilskrevet UNC5337, en spionasjegruppe med Kina-nexus kjent for cyberspionasjeoperasjoner.
SPAWNCHIMERA: The Evolved Threat
En bemerkelsesverdig utvikling i angrepskjeden er SPAWNCHIMERA-varianten, som konsoliderer de individuelle SPAWN-modulene til en enkelt monolitisk skadelig programvare. Denne versjonen introduserer en betydelig forbedring:
- Kommunikasjon mellom prosesser via UNIX-domenekontakter
- Patching av CVE-2025-0282 for å hindre rivaliserende trusselaktører fra å utnytte den samme sårbarheten
RESURGE: A Step Beyond SPAWNCHIMERA
Den siste iterasjonen, RESURGE ('libdsupgrade.so'), utvides på SPAWNCHIMERA med tre ekstra kommandoer:
- Persistens og systemmanipulasjon : Den setter seg inn i 'ld.so.preload', setter opp et web-skall, endrer integritetssjekker og modifiserer filer.
- Legitimasjons- og rettighetsutnyttelse – Muliggjør bruk av nettskall for innhenting av legitimasjon, kontooppretting, tilbakestilling av passord og rettighetseskalering.
- Boot Persistence – Kopierer web-skallet til Ivanti-oppstartsdisken og endrer kjerneoppstartsbildet for å sikre langsiktig tilgang.
Ytterligere funn: SPAWNSLOTH og DSMain
Forskere har også identifisert ytterligere to skadevareartefakter fra en kompromittert ICS-enhet innenfor kritisk infrastruktur:
- SPAWNSLOTH ('liblogblock.so') – En variant innebygd i RESURGE som manipulerer Ivanti-enhetslogger for å dekke spor.
- DSMain – En tilpasset 64-bit Linux ELF-binær som inneholder et åpen kildekode-skallskript og komponenter fra BusyBox, som muliggjør kjerneutvinning og ytterligere systemkompromittering.
Zero-Day Exploitation av Another Threat Actor
Spesielt har CVE-2025-0282 også blitt utnyttet som en nulldag av Silk Typhoon (tidligere Hafnium ), en annen kinesisk-tilknyttet nettspionasjegruppe. Dette understreker den høye verdien av denne sårbarheten blant statsstøttede trusselaktører.
Begrensningsstrategier: Hold deg i forkant av trusselen
Gitt den raske utviklingen av disse malware-variantene, må organisasjoner iverksette umiddelbare tiltak for å beskytte sine Ivanti-forekomster:
- Oppdater til den nyeste versjonen for å lukke CVE-2025-0282-sårbarheten.
- Tilbakestill legitimasjonen for både privilegerte og ikke-privilegerte kontoer.
- Roter passord for alle domene- og lokale kontoer.
Med angripere som aktivt foredler teknikkene sine, er proaktive forsvarstiltak avgjørende for å beskytte kritisk infrastruktur og sensitive data.
