RESURGE Zlonamerna programska oprema
Raziskovalci so odkrili novo vrsto zlonamerne programske opreme, RESURGE, ki je bila uporabljena v napadih, ki izkoriščajo zdaj zakrpano varnostno ranljivost v napravah Ivanti Connect Secure (ICS). Ta sofisticirana zlonamerna programska oprema gradi na zmožnostih različice zlonamerne programske opreme SPAWNCHIMERA, vendar uvaja edinstvene ukaze, ki spreminjajo njeno vedenje.
Kazalo
Vsestranski in nevaren komplet orodij
RESURGE ni le preprosto izkoriščanje - ima vrsto funkcionalnosti, vključno z delovanjem kot rootkit, dropper, backdoor, bootkit, proxy in tuneler. Zaradi teh zmogljivosti je izjemno orodje za napadalce, ki želijo ohraniti obstojnost in nadzor nad ogroženimi sistemi.
Izkoriščena ranljivost: CVE-2025-0282
Zlonamerna programska oprema izkorišča CVE-2025-0282, ranljivost prekoračitve medpomnilnika na podlagi sklada, ki vpliva na več izdelkov Ivanti, vključno z:
- Ivanti Connect Secure (pred različico 22.7R2.5)
- Ivanti Policy Secure (pred različico 22.7R1.2)
- Ivanti Neurons za ZTA Gateways (pred različico 22.7R2.3)
Ta napaka omogoča oddaljeno izvajanje kode, kar napadalcem omogoča uvedbo sofisticirane zlonamerne programske opreme, kot je RESURGE.
Ekosistem zlonamerne programske opreme SPAWN
Raziskovalci kibernetske varnosti so izkoriščanje CVE-2025-0282 povezali z ekosistemom zlonamerne programske opreme SPAWN, ki vključuje komponente, kot so:
- DREST
- SPAVNMOLE
- DRESTNI POLŽ
Ta ekosistem je bil pripisan UNC5337, vohunski skupini China-nexus, znani po operacijah kibernetskega vohunjenja.
SPAWNCHIMERA: Razvita grožnja
Pomemben razvoj v verigi napadov je različica SPAWNCHIMERA, ki združuje posamezne module SPAWN v eno samo monolitno zlonamerno programsko opremo. Ta različica uvaja pomembno izboljšavo:
- Komunikacija med procesi prek domenskih vtičnic UNIX
- Popravek CVE-2025-0282, da se konkurenčnim akterjem groženj prepreči izkoriščanje iste ranljivosti
RESURGE: Korak onkraj SPAWNCHIMERA
Zadnja ponovitev, RESURGE ('libdsupgrade.so'), razširi SPAWNCHIMERA s tremi dodatnimi ukazi:
- Vztrajnost in manipulacija sistema : Vstavi se v 'ld.so.preload', nastavi spletno lupino, spremeni preverjanja celovitosti in spremeni datoteke.
- Izkoriščanje poverilnic in privilegijev – Omogoča uporabo spletne lupine za zbiranje poverilnic, ustvarjanje računa, ponastavitev gesel in stopnjevanje privilegijev.
- Obstojnost zagona – Kopira spletno lupino na zagonsko disketo Ivanti, ki se izvaja, in spremeni sliko jedrnega zagona, da zagotovi dolgoročni dostop.
Dodatne ugotovitve: SPAWNSLOTH in DSMain
Raziskovalci so identificirali tudi dva dodatna artefakta zlonamerne programske opreme iz ogrožene naprave ICS znotraj kritične infrastrukture:
- SPAWNSLOTH ('liblogblock.so') – Različica, vdelana v RESURGE, ki manipulira z dnevniki naprave Ivanti, da prikrije sledi.
- DSMain – prilagojena 64-bitna binarna datoteka Linux ELF, ki vsebuje odprtokodni lupinski skript in komponente iz BusyBoxa, kar omogoča ekstrakcijo jedra in nadaljnje ogrožanje sistema.
Izkoriščanje ničelnega dne s strani drugega akterja grožnje
Predvsem je CVE-2025-0282 kot zero-day izkoristil tudi Silk Typhoon (prej Hafnium ), še ena kibernetsko vohunska skupina, povezana s Kitajsko. To poudarja visoko vrednost te ranljivosti med akterji groženj, ki jih sponzorira država.
Strategije ublažitve: Biti pred grožnjo
Glede na hiter razvoj teh različic zlonamerne programske opreme morajo organizacije nemudoma ukrepati, da zaščitijo svoje primerke Ivanti:
- Popravek na najnovejšo različico za zapiranje ranljivosti CVE-2025-0282.
- Ponastavite poverilnice za privilegirane in neprivilegirane račune.
- Izmenjava gesel za vse domenske in lokalne račune.
- Preglejte pravilnike o dostopu in začasno prekličite privilegije za prizadete naprave.
- Spremljajte račune za morebitne znake nenormalne dejavnosti.
Ker napadalci aktivno izpopolnjujejo svoje tehnike, so proaktivni obrambni ukrepi bistveni za varovanje kritične infrastrukture in občutljivih podatkov.
