RESURGE Malware

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ, RESURGE ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਨੂੰ Ivanti Connect Secure (ICS) ਉਪਕਰਣਾਂ ਵਿੱਚ ਹੁਣ-ਪੈਚ ਕੀਤੀ ਗਈ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਹਮਲਿਆਂ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸੂਝਵਾਨ ਮਾਲਵੇਅਰ SPAWNCHIMERA ਮਾਲਵੇਅਰ ਵੇਰੀਐਂਟ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ 'ਤੇ ਨਿਰਮਾਣ ਕਰਦਾ ਹੈ ਪਰ ਵਿਲੱਖਣ ਕਮਾਂਡਾਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਇਸਦੇ ਵਿਵਹਾਰ ਨੂੰ ਬਦਲਦੀਆਂ ਹਨ।

ਇੱਕ ਬਹੁਪੱਖੀ ਅਤੇ ਖ਼ਤਰਨਾਕ ਟੂਲਕਿੱਟ

RESURGE ਸਿਰਫ਼ ਇੱਕ ਸਧਾਰਨ ਸ਼ੋਸ਼ਣ ਨਹੀਂ ਹੈ - ਇਸ ਵਿੱਚ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਰੂਟਕਿਟ, ਡਰਾਪਰ, ਬੈਕਡੋਰ, ਬੂਟਕਿਟ, ਪ੍ਰੌਕਸੀ ਅਤੇ ਟੰਨਲਰ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਸਮਰੱਥਾਵਾਂ ਇਸਨੂੰ ਹਮਲਾਵਰਾਂ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਦ ਬਣਾਉਂਦੀਆਂ ਹਨ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਿਰਤਾ ਅਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣਾ ਚਾਹੁੰਦੇ ਹਨ।

ਸ਼ੋਸ਼ਿਤ ਕਮਜ਼ੋਰੀ: CVE-2025-0282

ਇਹ ਮਾਲਵੇਅਰ CVE-2025-0282 ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਸਟੈਕ-ਅਧਾਰਿਤ ਬਫਰ ਓਵਰਫਲੋ ਕਮਜ਼ੋਰੀ ਹੈ ਜੋ ਕਈ ਇਵਾਂਤੀ ਉਤਪਾਦਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇਵਾਂਤੀ ਕਨੈਕਟ ਸਕਿਓਰ (ਵਰਜਨ 22.7R2.5 ਤੋਂ ਪਹਿਲਾਂ)
• ਇਵੰਤੀ ਪਾਲਿਸੀ ਸਿਕਿਓਰ (ਵਰਜਨ 22.7R1.2 ਤੋਂ ਪਹਿਲਾਂ)
• ZTA ਗੇਟਵੇ ਲਈ ਇਵਾਂਤੀ ਨਿਊਰੋਨਸ (ਵਰਜਨ 22.7R2.3 ਤੋਂ ਪਹਿਲਾਂ)

ਇਹ ਨੁਕਸ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ RESURGE ਵਰਗੇ ਸੂਝਵਾਨ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰ ਸਕਦੇ ਹਨ।

SPAWN ਮਾਲਵੇਅਰ ਈਕੋਸਿਸਟਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ CVE-2025-0282 ਸ਼ੋਸ਼ਣ ਨੂੰ ਮਾਲਵੇਅਰ ਦੇ SPAWN ਈਕੋਸਿਸਟਮ ਨਾਲ ਜੋੜਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਅਜਿਹੇ ਹਿੱਸੇ ਸ਼ਾਮਲ ਹਨ ਜਿਵੇਂ ਕਿ:

• ਸਪਾਨੈਂਟ
• ਸਪੌਨਮੋਲ
• ਸਪੌਨਸਨੇਲ

ਇਸ ਈਕੋਸਿਸਟਮ ਦਾ ਸਿਹਰਾ UNC5337 ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਚੀਨ-ਗਠਜੋੜ ਜਾਸੂਸੀ ਸਮੂਹ ਹੈ ਜੋ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਸਪੌਨਚਾਈਮੇਰਾ: ਵਿਕਸਤ ਖ਼ਤਰਾ

ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ SPAWNCHIMERA ਰੂਪ ਹੈ, ਜੋ ਵਿਅਕਤੀਗਤ SPAWN ਮਾਡਿਊਲਾਂ ਨੂੰ ਇੱਕ ਸਿੰਗਲ ਮੋਨੋਲਿਥਿਕ ਮਾਲਵੇਅਰ ਵਿੱਚ ਜੋੜਦਾ ਹੈ। ਇਹ ਸੰਸਕਰਣ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਪੇਸ਼ ਕਰਦਾ ਹੈ:

• UNIX ਡੋਮੇਨ ਸਾਕਟਾਂ ਰਾਹੀਂ ਅੰਤਰ-ਪ੍ਰਕਿਰਿਆ ਸੰਚਾਰ
• ਵਿਰੋਧੀ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਉਸੇ ਕਮਜ਼ੋਰੀ ਦਾ ਲਾਭ ਉਠਾਉਣ ਤੋਂ ਰੋਕਣ ਲਈ CVE-2025-0282 ਦੀ ਪੈਚਿੰਗ

ਪੁਨਰ ਉਥਾਨ: ਸਪਾਨਚਾਈਮੇਰਾ ਤੋਂ ਪਰੇ ਇੱਕ ਕਦਮ

ਨਵੀਨਤਮ ਦੁਹਰਾਓ, RESURGE ('libdsupgrade.so'), ਤਿੰਨ ਵਾਧੂ ਕਮਾਂਡਾਂ ਨਾਲ SPAWNCHIMERA 'ਤੇ ਫੈਲਦਾ ਹੈ:

• ਸਥਿਰਤਾ ਅਤੇ ਸਿਸਟਮ ਹੇਰਾਫੇਰੀ : ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ 'ld.so.preload' ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਇੱਕ ਵੈੱਬ ਸ਼ੈੱਲ ਸੈਟ ਅਪ ਕਰਦਾ ਹੈ, ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਨੂੰ ਬਦਲਦਾ ਹੈ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧਦਾ ਹੈ।
• ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਸ਼ੋਸ਼ਣ - ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਿੰਗ, ਖਾਤਾ ਬਣਾਉਣ, ਪਾਸਵਰਡ ਰੀਸੈਟ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਲਈ ਵੈੱਬ ਸ਼ੈੱਲ ਵਰਤੋਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
• ਬੂਟ ਪਰਸਿਸਟੈਂਸ - ਵੈੱਬ ਸ਼ੈੱਲ ਨੂੰ ਇਵਾਂਤੀ ਚੱਲ ਰਹੀ ਬੂਟ ਡਿਸਕ 'ਤੇ ਕਾਪੀ ਕਰਦਾ ਹੈ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕੋਰਬੂਟ ਚਿੱਤਰ ਨੂੰ ਸੋਧਦਾ ਹੈ।

ਵਾਧੂ ਖੋਜਾਂ: ਸਪਾਨਸਲੋਥ ਅਤੇ ਡੀਐਸਮੇਨ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਾਜ਼ੁਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ICS ਡਿਵਾਈਸ ਤੋਂ ਦੋ ਵਾਧੂ ਮਾਲਵੇਅਰ ਕਲਾਕ੍ਰਿਤੀਆਂ ਦੀ ਵੀ ਪਛਾਣ ਕੀਤੀ ਹੈ:

• SPAWNSLOTH ('liblogblock.so') - RESURGE ਦੇ ਅੰਦਰ ਏਮਬੈਡ ਕੀਤਾ ਗਿਆ ਇੱਕ ਰੂਪ ਜੋ ਟਰੈਕਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਇਵਾਂਤੀ ਡਿਵਾਈਸ ਲੌਗਸ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਦਾ ਹੈ।
• DSMain - ਇੱਕ ਕਸਟਮ 64-ਬਿੱਟ Linux ELF ਬਾਈਨਰੀ ਜਿਸ ਵਿੱਚ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਅਤੇ BusyBox ਤੋਂ ਹਿੱਸੇ ਹਨ, ਜੋ ਕਰਨਲ ਐਕਸਟਰੈਕਸ਼ਨ ਅਤੇ ਹੋਰ ਸਿਸਟਮ ਸਮਝੌਤਾ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ।

ਇੱਕ ਹੋਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੁਆਰਾ ਜ਼ੀਰੋ-ਡੇ ਸ਼ੋਸ਼ਣ

ਖਾਸ ਤੌਰ 'ਤੇ, CVE-2025-0282 ਨੂੰ ਸਿਲਕ ਟਾਈਫੂਨ (ਪਹਿਲਾਂ ਹਾਫਨੀਅਮ ) ਦੁਆਰਾ ਜ਼ੀਰੋ-ਡੇ ਵਜੋਂ ਵੀ ਵਰਤਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਹੋਰ ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮੂਹ ਹੈ। ਇਹ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਵਿੱਚ ਇਸ ਕਮਜ਼ੋਰੀ ਦੇ ਉੱਚ ਮੁੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਘਟਾਉਣ ਦੀਆਂ ਰਣਨੀਤੀਆਂ: ਖ਼ਤਰੇ ਤੋਂ ਅੱਗੇ ਰਹਿਣਾ

ਇਹਨਾਂ ਮਾਲਵੇਅਰ ਰੂਪਾਂ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਾਸ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਸੰਗਠਨਾਂ ਨੂੰ ਆਪਣੇ ਇਵਾਂਤੀ ਉਦਾਹਰਣਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਤੁਰੰਤ ਕਾਰਵਾਈ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ:

• CVE-2025-0282 ਕਮਜ਼ੋਰੀ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਤੇ ਪੈਚ ਕਰੋ।
• ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਅਤੇ ਗੈਰ-ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਖਾਤਿਆਂ ਦੋਵਾਂ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ ਰੀਸੈਟ ਕਰੋ।
• ਸਾਰੇ ਡੋਮੇਨ ਅਤੇ ਸਥਾਨਕ ਖਾਤਿਆਂ ਲਈ ਪਾਸਵਰਡ ਘੁੰਮਾਓ।

• ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ ਲਈ ਪਹੁੰਚ ਨੀਤੀਆਂ ਦੀ ਸਮੀਖਿਆ ਕਰੋ ਅਤੇ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਰੱਦ ਕਰੋ।

• ਕਿਸੇ ਵੀ ਤਰ੍ਹਾਂ ਦੀ ਅਸਾਧਾਰਨ ਗਤੀਵਿਧੀ ਦੇ ਸੰਕੇਤਾਂ ਲਈ ਖਾਤਿਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ।

ਹਮਲਾਵਰਾਂ ਵੱਲੋਂ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਸੁਧਾਰਨ ਦੇ ਨਾਲ, ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਸਰਗਰਮ ਰੱਖਿਆ ਉਪਾਅ ਜ਼ਰੂਰੀ ਹਨ।