RESURGE Malware

ஆராய்ச்சியாளர்கள் RESURGE என்ற புதிய மால்வேர் வகையைக் கண்டுபிடித்துள்ளனர், இது Ivanti Connect Secure (ICS) சாதனங்களில் தற்போது உள்ள பாதுகாப்பு பாதிப்பைப் பயன்படுத்தி தாக்குதல்களில் பயன்படுத்தப்படுகிறது. இந்த அதிநவீன மால்வேர் SPAWNCHIMERA மால்வேர் மாறுபாட்டின் திறன்களை அடிப்படையாகக் கொண்டது, ஆனால் அதன் நடத்தையை மாற்றியமைக்கும் தனித்துவமான கட்டளைகளை அறிமுகப்படுத்துகிறது.

பல்துறை மற்றும் அச்சுறுத்தும் கருவித்தொகுப்பு

RESURGE என்பது வெறும் ஒரு எளிய சுரண்டல் அல்ல - இது ரூட்கிட், டிராப்பர், பேக்டோர், பூட்கிட், ப்ராக்ஸி மற்றும் டனலராகச் செயல்படுவது உட்பட பல்வேறு செயல்பாடுகளைக் கொண்டுள்ளது. இந்த திறன்கள், சமரசம் செய்யப்பட்ட அமைப்புகளின் மீது நிலைத்தன்மையையும் கட்டுப்பாட்டையும் பராமரிக்க விரும்பும் தாக்குபவர்களுக்கு ஒரு வலிமையான கருவியாக அமைகின்றன.

சுரண்டப்பட்ட பாதிப்பு: CVE-2025-0282

இந்த தீம்பொருள் CVE-2025-0282-ஐப் பயன்படுத்திக் கொள்கிறது, இது பல Ivanti தயாரிப்புகளைப் பாதிக்கும் ஒரு அடுக்கு அடிப்படையிலான இடையக வழிதல் பாதிப்பாகும், அவற்றுள்:

• இவாண்டி கனெக்ட் செக்யூர் (பதிப்பு 22.7R2.5 க்கு முன்)
• இவாண்டி பாலிசி செக்யூர் (பதிப்பு 22.7R1.2 க்கு முன்)
• ZTA கேட்வேக்களுக்கான இவாண்டி நியூரான்கள் (பதிப்பு 22.7R2.3க்கு முன்)

இந்தக் குறைபாடு தொலைதூரக் குறியீட்டைச் செயல்படுத்துவதை செயல்படுத்துகிறது, இதனால் தாக்குபவர்கள் RESURGE போன்ற அதிநவீன தீம்பொருளைப் பயன்படுத்த முடியும்.

SPAWN தீம்பொருள் சுற்றுச்சூழல் அமைப்பு

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் CVE-2025-0282 சுரண்டலை SPAWN தீம்பொருள் சுற்றுச்சூழல் அமைப்புடன் இணைத்துள்ளனர், இதில் இது போன்ற கூறுகள் அடங்கும்:

• ஸ்பான்ட்
• ஸ்பான்மோல்
• ஸ்பான்செய்ல்

இந்த சுற்றுச்சூழல் அமைப்பு, சைபர்-உளவு நடவடிக்கைகளுக்கு பெயர் பெற்ற சீனா-நெக்ஸஸ் உளவு குழுவான UNC5337-க்குக் காரணம் என்று கூறப்படுகிறது.

ஸ்பான்சிமேரா: பரிணாம அச்சுறுத்தல்

தாக்குதல் சங்கிலியில் குறிப்பிடத்தக்க வளர்ச்சி SPAWNCHIMERA மாறுபாடு ஆகும், இது தனிப்பட்ட SPAWN தொகுதிகளை ஒரு ஒற்றை மோனோலிதிக் தீம்பொருளாக ஒருங்கிணைக்கிறது. இந்த பதிப்பு ஒரு குறிப்பிடத்தக்க மேம்பாட்டை அறிமுகப்படுத்துகிறது:

• UNIX டொமைன் சாக்கெட்டுகள் வழியாக இடை-செயல்முறை தொடர்பு
• போட்டி அச்சுறுத்தல் நடிகர்கள் அதே பாதிப்பைப் பயன்படுத்துவதைத் தடுக்க CVE-2025-0282 இன் ஒட்டுப்போடுதல்.

எழுச்சி: ஸ்பான்சிமேராவைத் தாண்டி ஒரு படி

சமீபத்திய மறு செய்கை, RESURGE ('libdsupgrade.so'), மூன்று கூடுதல் கட்டளைகளுடன் SPAWNCHIMERA இல் விரிவடைகிறது:

• நிலைத்தன்மை மற்றும் கணினி கையாளுதல் : இது 'ld.so.preload' இல் தன்னைச் செருகிக் கொள்கிறது, ஒரு வலை ஷெல்லை அமைக்கிறது, ஒருமைப்பாடு சரிபார்ப்புகளை மாற்றுகிறது மற்றும் கோப்புகளை மாற்றியமைக்கிறது.
• நற்சான்றிதழ் & சலுகை சுரண்டல் - நற்சான்றிதழ் அறுவடை, கணக்கு உருவாக்கம், கடவுச்சொல் மீட்டமைப்புகள் மற்றும் சலுகை விரிவாக்கம் ஆகியவற்றிற்கான வலை ஷெல் பயன்பாட்டை செயல்படுத்துகிறது.
• பூட் பெர்சிஸ்டன்ஸ் - நீண்ட கால அணுகலை உறுதி செய்வதற்காக, இணைய ஷெல்லை இவாண்டி இயங்கும் பூட் டிஸ்க்கில் நகலெடுத்து, கோர்பூட் படத்தை மாற்றியமைக்கிறது.

கூடுதல் கண்டுபிடிப்புகள்: SPAWNSLOTH மற்றும் DSMain

முக்கியமான உள்கட்டமைப்பிற்குள் சமரசம் செய்யப்பட்ட ICS சாதனத்திலிருந்து இரண்டு கூடுதல் தீம்பொருள் கலைப்பொருட்களையும் ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர்:

• SPAWNSLOTH ('liblogblock.so') – RESURGE-க்குள் உட்பொதிக்கப்பட்ட ஒரு மாறுபாடு, இது Ivanti சாதனப் பதிவுகளை கையாள்வதன் மூலம் தடங்களை மறைக்கிறது.
• DSMain – ஒரு தனிப்பயன் 64-பிட் லினக்ஸ் ELF பைனரி, இது ஒரு திறந்த மூல ஷெல் ஸ்கிரிப்ட் மற்றும் BusyBox இலிருந்து கூறுகளைக் கொண்டுள்ளது, இது கர்னல் பிரித்தெடுத்தல் மற்றும் மேலும் கணினி சமரசத்தை செயல்படுத்துகிறது.

மற்றொரு அச்சுறுத்தல் நடிகரால் ஜீரோ-டே சுரண்டல்

குறிப்பாக, CVE-2025-0282, சீனாவுடன் இணைக்கப்பட்ட மற்றொரு சைபர்-உளவு குழுவான சில்க் டைபூனால் (முன்னர் ஹாஃப்னியம் ) பூஜ்ஜிய நாளாகப் பயன்படுத்தப்பட்டுள்ளது. இது அரசால் ஆதரிக்கப்படும் அச்சுறுத்தல் நடிகர்களிடையே இந்த பாதிப்பின் உயர் மதிப்பை அடிக்கோடிட்டுக் காட்டுகிறது.

தணிப்பு உத்திகள்: அச்சுறுத்தலை எதிர்கொள்வது

இந்த தீம்பொருள் வகைகளின் விரைவான பரிணாம வளர்ச்சியைக் கருத்தில் கொண்டு, நிறுவனங்கள் தங்கள் Ivanti நிகழ்வுகளைப் பாதுகாக்க உடனடி நடவடிக்கை எடுக்க வேண்டும்:

• CVE-2025-0282 பாதிப்பை மூட சமீபத்திய பதிப்பிற்கு இணைப்பு.
• சலுகை பெற்ற மற்றும் சலுகை இல்லாத கணக்குகளுக்கான சான்றுகளை மீட்டமைக்கவும்.
• அனைத்து டொமைன் மற்றும் உள்ளூர் கணக்குகளுக்கும் கடவுச்சொற்களை சுழற்று.

• பாதிக்கப்பட்ட சாதனங்களுக்கான அணுகல் கொள்கைகளை மதிப்பாய்வு செய்து தற்காலிகமாக சலுகைகளை ரத்து செய்யவும்.

• ஏதேனும் அசாதாரண செயல்பாட்டின் அறிகுறிகள் ஏதேனும் உள்ளதா என கணக்குகளைக் கண்காணிக்கவும்.

தாக்குதல் நடத்துபவர்கள் தங்கள் நுட்பங்களை தீவிரமாக மேம்படுத்தி வருவதால், முக்கியமான உள்கட்டமைப்பு மற்றும் முக்கியமான தரவுகளைப் பாதுகாப்பதற்கு முன்கூட்டிய பாதுகாப்பு நடவடிக்கைகள் அவசியம்.