Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) RESURGE Malware

RESURGE Malware

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:
Slovenčina

Výskumníci odhalili nový kmeň malvéru RESURGE, ktorý bol nasadený pri útokoch využívajúcich teraz opravenú bezpečnostnú zraniteľnosť zariadení Ivanti Connect Secure (ICS). Tento sofistikovaný malvér stavia na schopnostiach variantu malvéru SPAWNCHIMERA, ale zavádza jedinečné príkazy, ktoré upravujú jeho správanie.

Všestranná a hrozivá súprava nástrojov

RESURGE nie je len jednoduchý exploit – má celý rad funkcií, vrátane fungovania ako rootkit, dropper, backdoor, bootkit, proxy a tuneler. Tieto schopnosti z neho robia impozantný nástroj pre útočníkov, ktorí chcú zachovať vytrvalosť a kontrolu nad napadnutými systémami.

Zneužívaná chyba zabezpečenia: CVE-2025-0282

Malvér využíva CVE-2025-0282, zraniteľnosť pretečenia vyrovnávacej pamäte založenej na zásobníku, ktorá ovplyvňuje viacero produktov Ivanti vrátane:

  • Ivanti Connect Secure (pred verziou 22.7R2.5)
  • Ivanti Policy Secure (pred verziou 22.7R1.2)
  • Ivanti Neurons pre brány ZTA (pred verziou 22.7R2.3)

Táto chyba umožňuje vzdialené spustenie kódu, čo umožňuje útočníkom nasadiť sofistikovaný malvér, ako je RESURGE.

Ekosystém SPAWN Malware

Výskumníci v oblasti kybernetickej bezpečnosti spojili využívanie CVE-2025-0282 s ekosystémom škodlivého softvéru SPAWN, ktorý zahŕňa komponenty ako:

  • SPAWNANT
  • SPAWNMOLE
  • SPAWNSNAIL

Tento ekosystém bol pripísaný UNC5337, čínskej špionážnej skupine, ktorá je známa kyberšpionážnymi operáciami.

SPAWNCHIMERA: The Evolved Threat

Pozoruhodným vývojom v reťazci útokov je variant SPAWNCHIMERA, ktorý konsoliduje jednotlivé moduly SPAWN do jedného monolitického malvéru. Táto verzia prináša významné vylepšenie:

  • Medziprocesová komunikácia cez doménové sokety UNIX
  • Oprava CVE-2025-0282, aby sa zabránilo konkurenčným hrozbám využiť rovnakú zraniteľnosť

OBNOVENIE: Krok za SPAWNCHIMERA

Najnovšia iterácia, RESURGE ('libdsupgrade.so'), rozširuje SPAWNCHIMERA o tri ďalšie príkazy:

  • Persistence & System Manipulation : Vloží sa do 'ld.so.preload', nastaví webový shell, zmení kontroly integrity a modifikuje súbory.
  • Credential & Privilege Exploitation – Umožňuje používanie webového shellu na získavanie poverení, vytváranie účtu, resetovanie hesiel a eskaláciu privilégií.
  • Boot Persistence – Skopíruje webové prostredie na spúšťací disk Ivanti a upraví obraz coreboot, aby sa zabezpečil dlhodobý prístup.

Ďalšie zistenia: SPAWNSLOTH a DSMain

Výskumníci tiež identifikovali dva ďalšie malvérové artefakty z napadnutého zariadenia ICS v rámci kritickej infraštruktúry:

  • SPAWNSLOTH ('liblogblock.so') – Variant vložený do RESURGE, ktorý manipuluje s protokolmi zariadenia Ivanti, aby zakryl stopy.
  • DSMain – Vlastný 64-bitový Linux ELF binárny súbor obsahujúci open-source shell skript a komponenty z BusyBoxu, čo umožňuje extrakciu jadra a ďalšie systémové kompromisy.

Zero-Day Exploitation ďalším aktérom hrozby

Pozoruhodné je, že CVE-2025-0282 bol tiež zneužitý ako nultý deň Silk Typhoon (predtým Hafnium ), ďalšia kyberšpionážna skupina napojená na Čínu. To podčiarkuje vysokú hodnotu tejto zraniteľnosti medzi štátom sponzorovanými aktérmi hrozieb.

Stratégie zmierňovania: Buďte v predstihu pred hrozbou

Vzhľadom na rýchly vývoj týchto variantov malvéru musia organizácie okamžite podniknúť kroky na ochranu svojich inštancií Ivanti:

  • Opravte najnovšiu verziu, aby ste odstránili chybu zabezpečenia CVE-2025-0282.
  • Obnovte prihlasovacie údaje pre privilegované aj neprivilegované účty.
  • Striedajte heslá pre všetky doménové a lokálne účty.
  • Skontrolujte zásady prístupu a dočasne zrušte privilégiá pre dotknuté zariadenia.
  • Monitorujte akékoľvek známky anomálnej aktivity.

Keďže útočníci aktívne zdokonaľujú svoje techniky, proaktívne obranné opatrenia sú nevyhnutné na ochranu kritickej infraštruktúry a citlivých údajov.

Trendy

Najviac videné

Načítava...