RESURGE Malware

పరిశోధకులు కొత్త మాల్వేర్ జాతి, RESURGE ను కనుగొన్నారు, ఇది Ivanti Connect Secure (ICS) ఉపకరణాలలో ఇప్పుడు ప్యాచ్ చేయబడిన భద్రతా దుర్బలత్వాన్ని ఉపయోగించుకునే దాడులలో మోహరించబడింది. ఈ అధునాతన మాల్వేర్ SPAWNCHIMERA మాల్వేర్ వేరియంట్ యొక్క సామర్థ్యాలపై ఆధారపడుతుంది కానీ దాని ప్రవర్తనను సవరించే ప్రత్యేకమైన ఆదేశాలను పరిచయం చేస్తుంది.

బహుముఖ ప్రజ్ఞ కలిగిన మరియు బెదిరింపు సాధనం

RESURGE అనేది కేవలం ఒక సాధారణ దోపిడీ కాదు—ఇది రూట్‌కిట్, డ్రాపర్, బ్యాక్‌డోర్, బూట్‌కిట్, ప్రాక్సీ మరియు టన్నెలర్‌గా పనిచేయడం వంటి అనేక రకాల కార్యాచరణలను కలిగి ఉంటుంది. ఈ సామర్థ్యాలు రాజీపడిన వ్యవస్థలపై పట్టుదల మరియు నియంత్రణను కొనసాగించాలని చూస్తున్న దాడి చేసేవారికి దీనిని ఒక బలీయమైన సాధనంగా చేస్తాయి.

దోపిడీకి గురైన దుర్బలత్వం: CVE-2025-0282

ఈ మాల్వేర్ CVE-2025-0282 ను ఉపయోగించుకుంటుంది, ఇది స్టాక్-ఆధారిత బఫర్ ఓవర్‌ఫ్లో దుర్బలత్వం, ఇది బహుళ Ivanti ఉత్పత్తులను ప్రభావితం చేస్తుంది, వాటిలో:

• ఇవాంటి కనెక్ట్ సెక్యూర్ (వెర్షన్ 22.7R2.5 కి ముందు)
• ఇవాంటి పాలసీ సెక్యూర్ (వెర్షన్ 22.7R1.2 కి ముందు)
• ZTA గేట్‌వేస్ కోసం ఇవాంటి న్యూరాన్లు (వెర్షన్ 22.7R2.3 కి ముందు)

ఈ లోపం రిమోట్ కోడ్ అమలును అనుమతిస్తుంది, దాడి చేసేవారు RESURGE వంటి అధునాతన మాల్వేర్‌ను అమలు చేయడానికి అనుమతిస్తుంది.

SPAWN మాల్వేర్ పర్యావరణ వ్యవస్థ

సైబర్‌ సెక్యూరిటీ పరిశోధకులు CVE-2025-0282 దోపిడీని SPAWN మాల్వేర్ పర్యావరణ వ్యవస్థకు అనుసంధానించారు, ఇందులో ఇలాంటి భాగాలు ఉన్నాయి:

• స్పానెంట్
• స్పాన్మోల్
• స్పాన్స్‌నెయిల్

ఈ పర్యావరణ వ్యవస్థ సైబర్-గూఢచర్య కార్యకలాపాలకు ప్రసిద్ధి చెందిన చైనా-నెక్సస్ గూఢచర్య సమూహం UNC5337 కు ఆపాదించబడింది.

స్పాన్‌చిమెరా: పరిణామం చెందిన ముప్పు

దాడి గొలుసులో గుర్తించదగిన అభివృద్ధి SPAWNCHIMERA వేరియంట్, ఇది వ్యక్తిగత SPAWN మాడ్యూల్‌లను ఒకే మోనోలిథిక్ మాల్వేర్‌గా ఏకీకృతం చేస్తుంది. ఈ వెర్షన్ ఒక ముఖ్యమైన మెరుగుదలను పరిచయం చేస్తుంది:

• UNIX డొమైన్ సాకెట్ల ద్వారా ఇంటర్-ప్రాసెస్ కమ్యూనికేషన్
• ప్రత్యర్థి ముప్పు శక్తులు అదే దుర్బలత్వాన్ని ఉపయోగించకుండా నిరోధించడానికి CVE-2025-0282 యొక్క ప్యాచింగ్

పునరుజ్జీవం: స్పాన్‌చిమెరాను దాటి ఒక అడుగు

తాజా పునరావృతం, RESURGE ('libdsupgrade.so'), మూడు అదనపు ఆదేశాలతో SPAWNCHIMERA పై విస్తరిస్తుంది:

• పెర్సిస్టెన్స్ & సిస్టమ్ మానిప్యులేషన్ : ఇది 'ld.so.preload' లోకి తనను తాను చొప్పించుకుంటుంది, వెబ్ షెల్‌ను సెటప్ చేస్తుంది, సమగ్రత తనిఖీలను మారుస్తుంది మరియు ఫైల్‌లను సవరిస్తుంది.
• క్రెడెన్షియల్ & ప్రివిలేజ్ ఎక్స్‌ప్లోయిటేషన్ – క్రెడెన్షియల్ హార్వెస్టింగ్, ఖాతా సృష్టి, పాస్‌వర్డ్ రీసెట్‌లు మరియు ప్రివిలేజ్ ఎస్కలేషన్ కోసం వెబ్ షెల్ వినియోగాన్ని ప్రారంభిస్తుంది.
• బూట్ పెర్సిస్టెన్స్ – వెబ్ షెల్‌ను ఇవాంటి రన్నింగ్ బూట్ డిస్క్‌కి కాపీ చేస్తుంది మరియు దీర్ఘకాలిక యాక్సెస్‌ను నిర్ధారించడానికి కోర్‌బూట్ ఇమేజ్‌ను సవరిస్తుంది.

అదనపు ఫలితాలు: SPAWNSLOTH మరియు DSMain

కీలకమైన మౌలిక సదుపాయాలలో రాజీపడిన ICS పరికరం నుండి రెండు అదనపు మాల్వేర్ కళాఖండాలను పరిశోధకులు గుర్తించారు:

• SPAWNSLOTH ('liblogblock.so') – ట్రాక్‌లను కవర్ చేయడానికి Ivanti పరికర లాగ్‌లను మార్చే RESURGEలో పొందుపరచబడిన ఒక వేరియంట్.
• DSMain – ఓపెన్-సోర్స్ షెల్ స్క్రిప్ట్ మరియు BusyBox నుండి భాగాలను కలిగి ఉన్న కస్టమ్ 64-బిట్ Linux ELF బైనరీ, కెర్నల్ వెలికితీత మరియు మరింత సిస్టమ్ రాజీని అనుమతిస్తుంది.

మరో బెదిరింపు నటుడి జీరో-డే దోపిడీ

ముఖ్యంగా, CVE-2025-0282 ను చైనాతో అనుసంధానించబడిన మరొక సైబర్-గూఢచర్య సమూహం అయిన సిల్క్ టైఫూన్ (గతంలో హాఫ్నియం ) కూడా జీరో-డేగా ఉపయోగించుకుంది. ఇది రాష్ట్ర-ప్రాయోజిత ముప్పు శక్తులలో ఈ దుర్బలత్వం యొక్క అధిక విలువను నొక్కి చెబుతుంది.

ఉపశమన వ్యూహాలు: ముప్పును ఎదుర్కోవడంలో ముందుండటం

ఈ మాల్వేర్ వేరియంట్‌ల వేగవంతమైన పరిణామాన్ని దృష్టిలో ఉంచుకుని, సంస్థలు తమ Ivanti ఉదంతాలను రక్షించుకోవడానికి తక్షణ చర్య తీసుకోవాలి:

• CVE-2025-0282 దుర్బలత్వాన్ని మూసివేయడానికి తాజా వెర్షన్‌కు ప్యాచ్ చేయండి.
• ప్రివిలేజ్డ్ మరియు నాన్-ప్రివిలేజ్డ్ ఖాతాల కోసం ఆధారాలను రీసెట్ చేయండి.
• అన్ని డొమైన్ మరియు స్థానిక ఖాతాలకు పాస్‌వర్డ్‌లను తిప్పండి.

• ప్రభావిత పరికరాలకు యాక్సెస్ విధానాలను సమీక్షించండి మరియు తాత్కాలికంగా ప్రత్యేకాధికారాలను రద్దు చేయండి.

• అసాధారణ కార్యకలాపాల సంకేతాల కోసం ఖాతాలను పర్యవేక్షించండి.

దాడి చేసేవారు తమ పద్ధతులను చురుకుగా మెరుగుపరుచుకుంటున్నందున, కీలకమైన మౌలిక సదుపాయాలు మరియు సున్నితమైన డేటాను రక్షించడానికి చురుకైన రక్షణ చర్యలు చాలా అవసరం.