RESURGE Malware

अनुसन्धानकर्ताहरूले नयाँ मालवेयर स्ट्रेन, RESURGE पत्ता लगाएका छन्, जुन इभान्टी कनेक्ट सेक्योर (ICS) उपकरणहरूमा हालै प्याच गरिएको सुरक्षा जोखिमको शोषण गर्दै आक्रमणहरूमा प्रयोग गरिएको छ। यो परिष्कृत मालवेयरले SPAWNCHIMERA मालवेयर भेरियन्टको क्षमताहरूमा निर्माण गर्दछ तर यसको व्यवहार परिमार्जन गर्ने अद्वितीय आदेशहरू प्रस्तुत गर्दछ।

बहुमुखी र धम्कीपूर्ण उपकरणकिट

RESURGE केवल एक साधारण शोषण मात्र होइन - यसमा रुटकिट, ड्रपर, ब्याकडोर, बुटकिट, प्रोक्सी र टनेलरको रूपमा काम गर्ने जस्ता कार्यक्षमताहरूको दायरा छ। यी क्षमताहरूले यसलाई सम्झौता गरिएका प्रणालीहरूमा दृढता र नियन्त्रण कायम राख्न खोज्ने आक्रमणकारीहरूको लागि एक शक्तिशाली उपकरण बनाउँछ।

शोषित जोखिम: CVE-२०२५-०२८२

मालवेयरले CVE-2025-0282 को फाइदा उठाउँछ, एक स्ट्याक-आधारित बफर ओभरफ्लो जोखिम जसले धेरै इभान्टी उत्पादनहरूलाई असर गर्छ, जसमा समावेश छन्:

• इभान्टी कनेक्ट सेक्योर (संस्करण २२.७R२.५ भन्दा पहिले)
• इभान्टी पोलिसी सेक्योर (संस्करण २२.७R१.२ भन्दा पहिले)
• ZTA गेटवेका लागि इभान्टी न्यूरोन्स (संस्करण २२.७R२.३ भन्दा पहिले)

यो त्रुटिले रिमोट कोड कार्यान्वयनलाई सक्षम बनाउँछ, जसले आक्रमणकारीहरूलाई RESURGE जस्ता परिष्कृत मालवेयर तैनाथ गर्न अनुमति दिन्छ।

SPAWN मालवेयर इकोसिस्टम

साइबरसुरक्षा अनुसन्धानकर्ताहरूले CVE-2025-0282 शोषणलाई मालवेयरको SPAWN इकोसिस्टमसँग जोडेका छन्, जसमा निम्न घटकहरू समावेश छन्:

• स्पानन्ट
• स्प्यानमोल
• स्प्यान्सनेल

यो इकोसिस्टमको श्रेय UNC5337 लाई दिइएको छ, जुन साइबर-जासुसी कार्यहरूका लागि परिचित चीन-नेक्सस जासुसी समूह हो।

स्पान्काइमेरा: विकसित खतरा

आक्रमण शृङ्खलामा एउटा उल्लेखनीय विकास SPAWNCHIMERA भेरियन्ट हो, जसले व्यक्तिगत SPAWN मोड्युलहरूलाई एउटै मोनोलिथिक मालवेयरमा समेकित गर्दछ। यो संस्करणले एउटा महत्त्वपूर्ण वृद्धि प्रस्तुत गर्दछ:

• UNIX डोमेन सकेटहरू मार्फत अन्तर-प्रक्रिया सञ्चार
• प्रतिद्वन्द्वी खतरा अभिनेताहरूलाई उही जोखिमको फाइदा उठाउनबाट रोक्न CVE-2025-0282 को प्याचिङ

पुनरुत्थान: SPAWNCHIMERA भन्दा एक कदम अगाडि

पछिल्लो पुनरावृत्ति, RESURGE ('libdsupgrade.so'), तीन अतिरिक्त आदेशहरू सहित SPAWNCHIMERA मा विस्तार हुन्छ:

• पर्सिस्टन्स र सिस्टम हेरफेर : यसले 'ld.so.preload' मा आफैं घुसाउँछ, वेब शेल सेटअप गर्छ, इन्टिग्रिटी जाँचहरू परिवर्तन गर्छ र फाइलहरू परिमार्जन गर्छ।
• प्रमाणपत्र र विशेषाधिकारको शोषण - प्रमाणपत्र सङ्कलन, खाता सिर्जना, पासवर्ड रिसेट र विशेषाधिकार वृद्धिको लागि वेब शेल प्रयोग सक्षम बनाउँछ।
• बुट पर्सिस्टेन्स - वेब शेललाई इभान्टी चलिरहेको बुट डिस्कमा प्रतिलिपि गर्छ र दीर्घकालीन पहुँच सुनिश्चित गर्न कोरबुट छवि परिमार्जन गर्छ।

थप निष्कर्षहरू: SPAWNSLOTH र DSMain

अनुसन्धानकर्ताहरूले महत्वपूर्ण पूर्वाधार भित्र रहेको सम्झौता गरिएको ICS उपकरणबाट दुई थप मालवेयर कलाकृतिहरू पनि पहिचान गरेका छन्:

• SPAWNSLOTH ('liblogblock.so') - RESURGE भित्र एम्बेड गरिएको एउटा भेरियन्ट जसले ट्र्याकहरू कभर गर्न इभान्टी उपकरण लगहरूलाई हेरफेर गर्दछ।
• DSMain - एउटा अनुकूलन ६४-बिट Linux ELF बाइनरी जसमा खुला-स्रोत शेल स्क्रिप्ट र BusyBox बाट कम्पोनेन्टहरू समावेश छन्, जसले कर्नेल निकासी र थप प्रणाली सम्झौता सक्षम पार्छ।

अर्को धम्की दिने अभिनेताद्वारा शून्य-दिनको शोषण

उल्लेखनीय कुरा के छ भने, CVE-२०२५-०२८२ लाई चीनसँग सम्बन्धित अर्को साइबर-जासूसी समूह, सिल्क टाइफुन (पहिले हाफनियम ) द्वारा पनि शून्य-दिनको रूपमा शोषण गरिएको छ। यसले राज्य-प्रायोजित खतरा अभिनेताहरू बीचको यो जोखिमको उच्च मूल्यलाई जोड दिन्छ।

न्यूनीकरण रणनीतिहरू: खतराभन्दा अगाडि रहने

यी मालवेयर भेरियन्टहरूको द्रुत विकासलाई ध्यानमा राख्दै, संस्थाहरूले आफ्नो इभान्टी उदाहरणहरू सुरक्षित गर्न तुरुन्तै कदम चाल्नुपर्छ:

• CVE-2025-0282 जोखिम बन्द गर्न पछिल्लो संस्करणमा प्याच गर्नुहोस्।
• विशेषाधिकार प्राप्त र गैर-विशेषाधिकार प्राप्त खाताहरूको लागि प्रमाणहरू रिसेट गर्नुहोस्।
• सबै डोमेन र स्थानीय खाताहरूको लागि पासवर्डहरू घुमाउनुहोस्।

• प्रभावित उपकरणहरूको लागि पहुँच नीतिहरूको समीक्षा गर्नुहोस् र अस्थायी रूपमा विशेषाधिकारहरू रद्द गर्नुहोस्।

• असामान्य गतिविधिको कुनै पनि संकेतको लागि खाताहरूको निगरानी गर्नुहोस्।

आक्रमणकारीहरूले सक्रिय रूपमा आफ्नो प्रविधिलाई परिष्कृत गर्दै जाँदा, महत्वपूर्ण पूर्वाधार र संवेदनशील डेटाको सुरक्षाको लागि सक्रिय रक्षा उपायहरू आवश्यक छन्।