Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Malware RISURRGE

Malware RISURRGE

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:
Shqip

Studiuesit kanë zbuluar një lloj të ri malware, RESURGE, i cili është vendosur në sulme duke shfrytëzuar një cenueshmëri sigurie të korrigjuar tashmë në pajisjet Ivanti Connect Secure (ICS). Ky malware i sofistikuar bazohet në aftësitë e variantit të malware SPAWNCHIMERA, por prezanton komanda unike që modifikojnë sjelljen e tij.

Një paketë mjetesh të gjithanshme dhe kërcënuese

RESURGE nuk është thjesht një shfrytëzim i thjeshtë - ai posedon një sërë funksionalitetesh, duke përfshirë veprimin si rootkit, dropper, backdoor, bootkit, proxy dhe tuneler. Këto aftësi e bëjnë atë një mjet të frikshëm për sulmuesit që kërkojnë të ruajnë këmbënguljen dhe kontrollin mbi sistemet e komprometuara.

Dobësia e shfrytëzuar: CVE-2025-0282

Malware përfiton nga CVE-2025-0282, një cenueshmëri e mbingarkesës së tamponit të bazuar në stek që prek shumë produkte Ivanti, duke përfshirë:

  • Ivanti Connect Secure (përpara versionit 22.7R2.5)
  • Ivanti Policy Secure (përpara versionit 22.7R1.2)
  • Ivanti Neurons për ZTA Gateways (përpara versionit 22.7R2.3)

Kjo e metë mundëson ekzekutimin e kodit në distancë, duke i lejuar sulmuesit të vendosin malware të sofistikuar si RESURGE.

Ekosistemi Malware SPAWN

Studiuesit e sigurisë kibernetike kanë lidhur shfrytëzimin e CVE-2025-0282 me ekosistemin SPAWN të malware, i cili përfshin komponentë të tillë si:

  • POLIZËS
  • MOLISH
  • KHALI MILI

Ky ekosistem i është atribuar UNC5337, një grup spiunazhi në Kinë, i njohur për operacionet e spiunazhit kibernetik.

SPAWNCHIMERA: Kërcënimi i evoluar

Një zhvillim i dukshëm në zinxhirin e sulmit është varianti SPAWNCHIMERA, i cili konsolidon modulet individuale SPAWN në një malware të vetëm monolit. Ky version paraqet një përmirësim të rëndësishëm:

  • Komunikimi ndër-procesor nëpërmjet prizave të domenit UNIX
  • Rregullimi i CVE-2025-0282 për të parandaluar që aktorët rivalë të kërcënimit të përdorin të njëjtën dobësi

RIGJILLIM: Një hap përtej SPAWNCHIMERA

Përsëritja e fundit, RESURGE ('libdsupgrade.so'), zgjerohet në SPAWNCHIMERA me tre komanda shtesë:

  • Këmbëngulja dhe Manipulimi i Sistemit : Ai fut veten në 'ld.so.preload', krijon një shell Web, ndryshon kontrollet e integritetit dhe modifikon skedarët.
  • Shfrytëzimi i kredencialeve dhe privilegjeve – Mundëson përdorimin e guaskës së internetit për mbledhjen e kredencialeve, krijimin e llogarisë, rivendosjen e fjalëkalimit dhe përshkallëzimin e privilegjeve.
  • Qëndrueshmëria e nisjes – Kopjon guaskën e uebit në diskun e nisjes së Ivanti dhe modifikon imazhin bazë të nisjes për të siguruar akses afatgjatë.

Gjetje shtesë: SPAWNSLOTH dhe DMain

Studiuesit kanë identifikuar gjithashtu dy artefakte shtesë malware nga një pajisje ICS e komprometuar brenda infrastrukturës kritike:

  • SPAWNSLOTH ('liblogblock.so') – Një variant i ngulitur brenda RESURGE që manipulon regjistrat e pajisjes Ivanti për të mbuluar gjurmët.
  • DSMain – Një binar Linux ELF i personalizuar 64-bitësh që përmban një skript të guaskës me burim të hapur dhe komponentë nga BusyBox, duke mundësuar nxjerrjen e kernelit dhe kompromisin e mëtejshëm të sistemit.

Shfrytëzimi i Ditës Zero nga Një Aktor tjetër Kërcënues

Veçanërisht, CVE-2025-0282 është shfrytëzuar gjithashtu si një ditë zero nga Silk Typhoon (ish Hafnium ), një tjetër grup spiunazhi kibernetik i lidhur me Kinën. Kjo nënvizon vlerën e lartë të kësaj cenueshmërie midis aktorëve të kërcënimit të sponsorizuar nga shteti.

Strategjitë e zbutjes: Qëndrimi përpara kërcënimit

Duke pasur parasysh evolucionin e shpejtë të këtyre varianteve të malware, organizatat duhet të ndërmarrin veprime të menjëhershme për të mbrojtur rastet e tyre Ivanti:

  • Patch në versionin më të fundit për të mbyllur cenueshmërinë CVE-2025-0282.
  • Rivendosni kredencialet për llogaritë e privilegjuara dhe jo të privilegjuara.
  • Rrotulloni fjalëkalimet për të gjitha domenet dhe llogaritë lokale.
  • Rishikoni politikat e qasjes dhe anuloni përkohësisht privilegjet për pajisjet e prekura.
  • Monitori llogarit për çdo shenjë të aktivitetit anormal.

Me sulmuesit që përsosin në mënyrë aktive teknikat e tyre, masat proaktive të mbrojtjes janë thelbësore për të mbrojtur infrastrukturën kritike dhe të dhënat e ndjeshme.

Në trend

Më e shikuara

Po ngarkohet...