RESURGE Malware
Истраживачи су открили нови сој малвера, РЕСУРГЕ, који је коришћен у нападима искоришћавајући сада закрпљену безбедносну рањивост у Иванти Цоннецт Сецуре (ИЦС) уређајима. Овај софистицирани малвер се надограђује на могућности варијанте СПАВНЦХИМЕРА малвера, али уводи јединствене команде које мењају његово понашање.
Преглед садржаја
Разноврсни и опасни алати
РЕСУРГЕ није само једноставан експлоат – он поседује низ функционалности, укључујући деловање као рооткит, дроппер, бацкдоор, бооткит, проки и тунел. Ове могућности га чине одличним алатом за нападаче који желе да одрже упорност и контролу над компромитованим системима.
Искоришћена рањивост: ЦВЕ-2025-0282
Злонамерни софтвер користи предности ЦВЕ-2025-0282, рањивости преливања бафера засноване на стеку која утиче на више Иванти производа, укључујући:
- Иванти Цоннецт Сецуре (пре верзије 22.7Р2.5)
- Иванти Полици Сецуре (пре верзије 22.7Р1.2)
- Иванти Неурони за ЗТА Гатеваис (пре верзије 22.7Р2.3)
Ова мана омогућава даљинско извршавање кода, омогућавајући нападачима да примене софистицирани малвер као што је РЕСУРГЕ.
Екосистем СПАВН малвера
Истраживачи сајбер безбедности су повезали експлоатацију ЦВЕ-2025-0282 са СПАВН екосистемом малвера, који укључује компоненте као што су:
- СПАВНАНТ
- СПАВНМОЛЕ
- СПАВНСНАИЛ
Овај екосистем је приписан УНЦ5337, шпијунској групи Кине-некус познатој по операцијама сајбер шпијунаже.
СПАВНЦХИМЕРА: еволуирана претња
Значајан развој у ланцу напада је варијанта СПАВНЦХИМЕРА, која консолидује појединачне СПАВН модуле у један монолитни малвер. Ова верзија уводи значајно побољшање:
- Комуникација између процеса преко УНИКС доменских сокета
- Закрпа ЦВЕ-2025-0282 да би се спречило ривалске претње да искористе исту рањивост
РЕСУРГЕ: Корак даље од СПАВНЦХИМЕРА
Најновија итерација, РЕСУРГЕ ('либдсупграде.со'), проширује се на СПАВНЦХИМЕРА са три додатне команде:
- Постојаност и манипулација системом : Убацује се у 'лд.со.прелоад', поставља веб љуску, мења проверу интегритета и модификује датотеке.
- Експлоатација акредитива и привилегија – Омогућава коришћење веб љуске за прикупљање акредитива, креирање налога, ресетовање лозинке и ескалацију привилегија.
- Перзистентност покретања – Копира веб љуску на Иванти покренути диск за покретање и модификује цоребоот слику да би се обезбедио дугорочни приступ.
Додатни налази: СПАВНСЛОТХ и ДСМаин
Истраживачи су такође идентификовали два додатна артефакта малвера са компромитованог ИЦС уређаја унутар критичне инфраструктуре:
- СПАВНСЛОТХ ('либлогблоцк.со') – Варијанта уграђена у РЕСУРГЕ која манипулише евиденцијама Иванти уређаја да покрије трагове.
- ДСМаин – Прилагођена 64-битна Линук ЕЛФ бинарна датотека која садржи схелл скрипту отвореног кода и компоненте из БусиБок-а, омогућавајући екстракцију кернела и даље компромитовање система.
Експлоатација нултог дана од стране другог претњи актера
Приметно је да је ЦВЕ-2025-0282 такође искоришћен као нулти дан од стране Силк Типхоон-а (раније Хафниум ), још једне групе за сајбер шпијунажу повезане са Кином. Ово наглашава високу вредност ове рањивости међу актерима претњи које спонзорише држава.
Стратегије ублажавања: Останак испред претње
С обзиром на брзу еволуцију ових варијанти злонамерног софтвера, организације морају да предузму хитне мере да заштите своје Иванти инстанце:
- Закрпите на најновију верзију да бисте затворили рањивост ЦВЕ-2025-0282.
- Ресетујте акредитиве и за привилеговане и за непривилеговане налоге.
- Ротирајте лозинке за све доменске и локалне налоге.
- Прегледајте смернице приступа и привремено опозовите привилегије за погођене уређаје.
- Монитор води рачуна о било каквим знацима аномалне активности.
Пошто нападачи активно усавршавају своје технике, проактивне одбрамбене мере су кључне за заштиту критичне инфраструктуре и осетљивих података.
