Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) RESURGE Malware

RESURGE Malware

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:
Română

Cercetătorii au descoperit o nouă tulpină de malware, RESURGE, care a fost desfășurată în atacuri care exploatează o vulnerabilitate de securitate corectată în dispozitivele Ivanti Connect Secure (ICS). Acest malware sofisticat se bazează pe capacitățile variantei malware SPAWNCHIMERA, dar introduce comenzi unice care îi modifică comportamentul.

Un set de instrumente versatil și amenințător

RESURGE nu este doar o simplă exploatare, ci posedă o gamă largă de funcționalități, inclusiv acționând ca rootkit, dropper, backdoor, bootkit, proxy și tunel. Aceste capabilități îl fac un instrument formidabil pentru atacatorii care doresc să mențină persistența și controlul asupra sistemelor compromise.

Vulnerabilitatea exploatată: CVE-2025-0282

Programul malware profită de CVE-2025-0282, o vulnerabilitate de depășire a buffer-ului bazată pe stivă care afectează mai multe produse Ivanti, inclusiv:

  • Ivanti Connect Secure (înainte de versiunea 22.7R2.5)
  • Politica Ivanti Secure (înainte de versiunea 22.7R1.2)
  • Ivanti Neurons pentru ZTA Gateways (înainte de versiunea 22.7R2.3)

Acest defect permite executarea codului de la distanță, permițând atacatorilor să implementeze programe malware sofisticate precum RESURGE.

Ecosistemul malware SPAWN

Cercetătorii în domeniul securității cibernetice au legat exploatarea CVE-2025-0282 de ecosistemul malware SPAWN, care include componente precum:

  • IMPĂRĂTOR
  • SPAWNMOLE
  • SPAWNSNOIL

Acest ecosistem a fost atribuit UNC5337, un grup de spionaj China-nexus cunoscut pentru operațiunile de spionaj cibernetic.

SPAWNCHIMERA: Amenințarea evoluată

O dezvoltare notabilă în lanțul de atac este varianta SPAWNCHIMERA, care consolidează modulele individuale SPAWN într-un singur malware monolitic. Această versiune introduce o îmbunătățire semnificativă:

  • Comunicare între procese prin intermediul socket-urilor de domeniu UNIX
  • Corrigerea CVE-2025-0282 pentru a preveni amenințările rivale să folosească aceeași vulnerabilitate

RESURGE: Un pas dincolo de SPAWNCHIMERA

Cea mai recentă iterație, RESURGE ('libdsupgrade.so'), se extinde pe SPAWNCHIMERA cu trei comenzi suplimentare:

  • Persistență și manipulare a sistemului : se inserează în „ld.so.preload”, creează un shell Web, modifică verificările de integritate și modifică fișierele.
  • Exploatarea acreditărilor și a privilegiilor – Permite utilizarea shell-ului web pentru colectarea acreditărilor, crearea contului, resetarea parolei și escaladarea privilegiilor.
  • Boot Persistence – Copiază shell-ul Web pe discul de pornire care rulează Ivanti și modifică imaginea coreboot pentru a asigura acces pe termen lung.

Constatări suplimentare: SPAWNSLOTH și DSMain

Cercetătorii au identificat, de asemenea, două artefacte malware suplimentare dintr-un dispozitiv ICS compromis în infrastructura critică:

  • SPAWNSLOTH ('liblogblock.so') – O variantă încorporată în RESURGE care manipulează jurnalele dispozitivului Ivanti pentru a acoperi urmele.
  • DSMain – Un binar Linux ELF personalizat pe 64 de biți care conține un script shell open-source și componente de la BusyBox, permițând extragerea nucleului și compromisul suplimentar al sistemului.

Exploatarea Zero-Day de către un alt actor cu amenințare

În special, CVE-2025-0282 a fost, de asemenea, exploatat ca zi zero de Silk Typhoon (fostul Hafnium ), un alt grup de spionaj cibernetic legat de China. Acest lucru subliniază valoarea ridicată a acestei vulnerabilități în rândul actorilor de amenințări sponsorizați de stat.

Strategii de atenuare: a rămâne înaintea amenințării

Având în vedere evoluția rapidă a acestor variante de malware, organizațiile trebuie să ia măsuri imediate pentru a-și proteja instanțele Ivanti:

  • Patch la cea mai recentă versiune pentru a închide vulnerabilitatea CVE-2025-0282.
  • Resetați acreditările atât pentru conturile privilegiate, cât și pentru cele neprivilegiate.
  • Rotiți parolele pentru toate conturile de domeniu și locale.
  • Examinați politicile de acces și revocați temporar privilegiile pentru dispozitivele afectate.
  • Monitorizați conturile pentru orice semne de activitate anormală.

    • Având în vedere că atacatorii își perfecționează în mod activ tehnicile, măsurile de apărare proactive sunt esențiale pentru protejarea infrastructurii critice și a datelor sensibile.

    Trending

    Cele mai văzute

    Se încarcă...