RESURGE Malware
Forskare har avslöjat en ny skadlig kod, RESURGE, som har implementerats i attacker som utnyttjar en nu patchad säkerhetssårbarhet i Ivanti Connect Secure (ICS) apparater. Denna sofistikerade skadliga programvara bygger på kapaciteten hos SPAWNCHIMERA skadlig programvara men introducerar unika kommandon som ändrar dess beteende.
Innehållsförteckning
En mångsidig och hotfull verktygslåda
RESURGE är inte bara en enkel exploatering – den har en rad funktioner, inklusive att fungera som rootkit, dropper, bakdörr, bootkit, proxy och tunnlar. Dessa funktioner gör det till ett formidabelt verktyg för angripare som vill behålla uthållighet och kontroll över komprometterade system.
Den exploaterade sårbarheten: CVE-2025-0282
Skadlig programvara drar fördel av CVE-2025-0282, en stackbaserad buffertspillsårbarhet som påverkar flera Ivanti-produkter, inklusive:
- Ivanti Connect Secure (före version 22.7R2.5)
- Ivanti Policy Secure (före version 22.7R1.2)
- Ivanti Neurons för ZTA Gateways (före version 22.7R2.3)
Denna brist möjliggör fjärrkörning av kod, vilket gör att angripare kan distribuera sofistikerad skadlig programvara som RESURGE.
SPAWN Malware Ecosystem
Cybersäkerhetsforskare har kopplat CVE-2025-0282-exploateringen till SPAWN-ekosystemet av skadlig programvara, som inkluderar komponenter som:
- SPAWNANT
- SPAWNMOLE
- SPAWNSNAIL
Detta ekosystem har tillskrivits UNC5337, en spionagegrupp med Kina-nexus känd för cyberspionage.
SPAWNCHIMERA: The Evolved Threat
En anmärkningsvärd utveckling i attackkedjan är SPAWNCHIMERA-varianten, som konsoliderar de individuella SPAWN-modulerna till en enda monolitisk skadlig kod. Denna version introducerar en betydande förbättring:
- Kommunikation mellan processer via UNIX-domänsockets
- Patch av CVE-2025-0282 för att förhindra rivaliserande hotaktörer från att utnyttja samma sårbarhet
RESURGE: A Step Beyond SPAWNCHIMERA
Den senaste iterationen, RESURGE ('libdsupgrade.so'), expanderar på SPAWNCHIMERA med ytterligare tre kommandon:
- Persistens & System Manipulation : Den infogar sig själv i 'ld.so.preload', sätter upp ett webbskal, ändrar integritetskontroller och modifierar filer.
- Autentiserings- och privilegieutnyttjande – Möjliggör användning av webbskal för insamling av autentiseringsuppgifter, skapande av konton, lösenordsåterställningar och privilegieskalering.
- Boot Persistence – Kopierar webbskalet till Ivanti-startdisketten och modifierar coreboot-avbildningen för att säkerställa långtidsåtkomst.
Ytterligare resultat: SPAWNSLOTH och DSMain
Forskare har också identifierat två ytterligare skadliga artefakter från en komprometterad ICS-enhet inom kritisk infrastruktur:
- SPAWNSLOTH ('liblogblock.so') – En variant inbäddad i RESURGE som manipulerar Ivantis enhetsloggar för att täcka spår.
- DSMain – En anpassad 64-bitars Linux ELF-binär som innehåller ett skalskript med öppen källkod och komponenter från BusyBox, vilket möjliggör kärnextraktion och ytterligare systemkompromisser.
Zero-Day Exploitation av Another Threat Actor
Noterbart är att CVE-2025-0282 också har utnyttjats som en nolldag av Silk Typhoon (tidigare Hafnium ), en annan Kina-kopplad cyberspionagegrupp. Detta understryker det höga värdet av denna sårbarhet bland statligt sponsrade hotaktörer.
Begränsande strategier: Ligga före hotet
Med tanke på den snabba utvecklingen av dessa malware-varianter måste organisationer vidta omedelbara åtgärder för att skydda sina Ivanti-instanser:
- Patcha till den senaste versionen för att stänga CVE-2025-0282-sårbarheten.
- Återställ autentiseringsuppgifterna för både privilegierade och icke-privilegierade konton.
- Rotera lösenord för alla domäner och lokala konton.
Med angripare som aktivt förfinar sina tekniker är proaktiva försvarsåtgärder viktiga för att skydda kritisk infrastruktur och känslig data.
