Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Oprogramowanie złośliwe RESURGE

Oprogramowanie złośliwe RESURGE

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:
Polski

Badacze odkryli nowy szczep złośliwego oprogramowania, RESURGE, który został wdrożony w atakach wykorzystujących obecnie załataną lukę w zabezpieczeniach urządzeń Ivanti Connect Secure (ICS). To wyrafinowane złośliwe oprogramowanie opiera się na możliwościach wariantu złośliwego oprogramowania SPAWNCHIMERA, ale wprowadza unikalne polecenia, które modyfikują jego zachowanie.

Wszechstronny i groźny zestaw narzędzi

RESURGE to nie tylko prosty exploit — posiada szereg funkcji, w tym działanie jako rootkit, dropper, backdoor, bootkit, proxy i tunneler. Te możliwości sprawiają, że jest to potężne narzędzie dla atakujących, którzy chcą utrzymać trwałość i kontrolę nad naruszonymi systemami.

Wykorzystywana luka: CVE-2025-0282

Złośliwe oprogramowanie wykorzystuje lukę w zabezpieczeniach CVE-2025-0282 związaną z przepełnieniem bufora stosu, która dotyczy wielu produktów Ivanti, w tym:

  • Ivanti Connect Secure (wersja wcześniejsza niż 22.7R2.5)
  • Ivanti Policy Secure (wersja wcześniejsza niż 22.7R1.2)
  • Ivanti Neurons dla bram ZTA (przed wersją 22.7R2.3)

Luka ta umożliwia zdalne wykonanie kodu, co pozwala atakującym na wdrażanie zaawansowanego złośliwego oprogramowania, takiego jak RESURGE.

Ekosystem złośliwego oprogramowania SPAWN

Badacze zajmujący się cyberbezpieczeństwem powiązali wykorzystanie luki CVE-2025-0282 z ekosystemem złośliwego oprogramowania SPAWN, który obejmuje takie komponenty, jak:

  • TARŁO
  • KRET ODRASTAJĄCY
  • ŚLIMAK SZKLARZOWY

Ekosystem ten przypisuje się UNC5337, grupie szpiegowskiej powiązanej z Chinami, znanej z operacji cybernetycznego szpiegostwa.

SPAWNCHIMERA: Ewoluujące zagrożenie

Godnym uwagi rozwojem w łańcuchu ataków jest wariant SPAWNCHIMERA, który konsoliduje poszczególne moduły SPAWN w pojedynczy monolityczny malware. Ta wersja wprowadza znaczące udoskonalenie:

  • Komunikacja międzyprocesowa poprzez gniazda domeny UNIX
  • Łatanie luki CVE-2025-0282 w celu uniemożliwienia konkurencyjnym podmiotom wykorzystującym tę samą lukę

RESURGE: krok poza SPAWNCHIMERA

Najnowsza wersja RESURGE (libdsupgrade.so) rozszerza SPAWNCHIMERA o trzy dodatkowe polecenia:

  • Trwałość i manipulacja systemem : Wstawia się do „ld.so.preload”, konfiguruje powłokę internetową, zmienia sprawdzanie integralności i modyfikuje pliki.
  • Wykorzystanie poświadczeń i uprawnień – umożliwia wykorzystanie powłoki internetowej do gromadzenia poświadczeń, tworzenia kont, resetowania haseł i eskalacji uprawnień.
  • Trwałość rozruchu – kopiuje powłokę internetową na dysk rozruchowy Ivanti i modyfikuje obraz coreboot, aby zapewnić długoterminowy dostęp.

Dodatkowe ustalenia: SPAWNSLOTH i DSMain

Badacze zidentyfikowali również dwa dodatkowe artefakty złośliwego oprogramowania pochodzące z zainfekowanego urządzenia ICS w obrębie infrastruktury krytycznej:

  • SPAWNSLOTH ('liblogblock.so') – wariant osadzony w RESURGE, który manipuluje dziennikami urządzeń Ivanti w celu zacierania śladów.
  • DSMain – niestandardowy 64-bitowy plik binarny ELF systemu Linux, zawierający skrypt powłoki typu open source oraz komponenty firmy BusyBox, umożliwiający ekstrakcję jądra i dalsze naruszanie bezpieczeństwa systemu.

Wykorzystanie luki typu Zero-Day przez innego aktora zagrożeń

Co ciekawe, CVE-2025-0282 został również wykorzystany jako zero-day przez Silk Typhoon (dawniej Hafnium ), inną powiązaną z Chinami grupę cybernetycznego szpiegostwa. Podkreśla to wysoką wartość tej podatności wśród państwowych aktorów zagrożeń.

Strategie łagodzenia: wyprzedzanie zagrożenia

Biorąc pod uwagę szybką ewolucję tych wariantów złośliwego oprogramowania, organizacje muszą podjąć natychmiastowe działania w celu ochrony swoich instancji Ivanti:

  • Zaktualizowano wersję do najnowszej, aby wyeliminować lukę w zabezpieczeniach CVE-2025-0282.
  • Zresetuj dane uwierzytelniające dla kont uprzywilejowanych i nieuprzywilejowanych.
  • Zmień hasła dla wszystkich kont domenowych i lokalnych.
  • Przejrzyj zasady dostępu i tymczasowo cofnij uprawnienia dla urządzeń, których to dotyczy.
  • Monitoruj konta pod kątem oznak nietypowej aktywności.

Ponieważ atakujący nieustannie udoskonalają swoje techniki, proaktywne środki obronne stają się koniecznością w celu zabezpieczenia krytycznej infrastruktury i poufnych danych.

Popularne

Najczęściej oglądane

Ładowanie...