มัลแวร์ RESURGE
นักวิจัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ RESURGE ซึ่งถูกนำมาใช้ในการโจมตีโดยอาศัยช่องโหว่ด้านความปลอดภัยในอุปกรณ์ Ivanti Connect Secure (ICS) ที่ได้รับการแก้ไขแล้ว มัลแวร์ที่ซับซ้อนนี้สร้างขึ้นจากความสามารถของมัลแวร์สายพันธุ์ SPAWNCHIMERA แต่แนะนำคำสั่งเฉพาะที่ปรับเปลี่ยนพฤติกรรมของมัน
สารบัญ
ชุดเครื่องมือที่มีความหลากหลายและคุกคาม
RESURGE ไม่ใช่แค่ช่องโหว่ธรรมดาๆ แต่ยังมีฟังก์ชันต่างๆ มากมาย เช่น ทำหน้าที่เป็นรูทคิท ดรอปเปอร์ แบ็กดอร์ บูตคิท พร็อกซี และตัวสร้างอุโมงค์ ความสามารถเหล่านี้ทำให้ RESURGE เป็นเครื่องมือที่ท้าทายสำหรับผู้โจมตีที่ต้องการรักษาความต่อเนื่องและควบคุมระบบที่ถูกบุกรุก
ช่องโหว่ที่ถูกใช้ประโยชน์: CVE-2025-0282
มัลแวร์ใช้ประโยชน์จาก CVE-2025-0282 ซึ่งเป็นช่องโหว่บัฟเฟอร์โอเวอร์โฟลว์ที่ใช้สแต็ก ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Ivanti หลายรายการ รวมถึง:
- Ivanti Connect Secure (ก่อนเวอร์ชัน 22.7R2.5)
- Ivanti Policy Secure (ก่อนเวอร์ชัน 22.7R1.2)
- Ivanti Neurons สำหรับ ZTA Gateways (ก่อนเวอร์ชัน 22.7R2.3)
ข้อบกพร่องนี้ช่วยให้สามารถเรียกใช้โค้ดจากระยะไกล ส่งผลให้ผู้โจมตีสามารถใช้มัลแวร์ที่ซับซ้อนเช่น RESURGE ได้
ระบบนิเวศของมัลแวร์ SPAWN
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เชื่อมโยงการโจมตี CVE-2025-0282 กับระบบนิเวศ SPAWN ของมัลแวร์ ซึ่งรวมถึงส่วนประกอบต่างๆ เช่น:
- สปอนแนนท์
- สปอนโมล
- หอยทาก
ระบบนิเวศนี้ได้รับการถ่ายทอดมาจาก UNC5337 ซึ่งเป็นกลุ่มจารกรรมที่เกี่ยวข้องกับจีนที่รู้จักกันในนามปฏิบัติการจารกรรมทางไซเบอร์
SPAWNCHIMERA: ภัยคุกคามที่วิวัฒนาการ
การพัฒนาที่น่าสังเกตในห่วงโซ่การโจมตีคือตัวแปร SPAWNCHIMERA ซึ่งรวบรวมโมดูล SPAWN แต่ละตัวให้เป็นมัลแวร์โมโนลิธิกตัวเดียว เวอร์ชันนี้มีการปรับปรุงที่สำคัญดังนี้:
- การสื่อสารระหว่างกระบวนการผ่านทางซ็อคเก็ตโดเมน UNIX
- การแก้ไข CVE-2025-0282 เพื่อป้องกันไม่ให้ผู้ก่อภัยคุกคามคู่แข่งใช้ประโยชน์จากช่องโหว่เดียวกัน
RESURGE: ก้าวไปอีกขั้นเหนือ SPAWNCHIMERA
รุ่นล่าสุด RESURGE ('libdsupgrade.so') ขยาย SPAWNCHIMERA ด้วยคำสั่งเพิ่มเติมสามคำสั่ง:
- การคงอยู่และการจัดการระบบ : แทรกตัวเองเข้าไปใน 'ld.so.preload' ตั้งค่าเว็บเชลล์ เปลี่ยนการตรวจสอบความสมบูรณ์ และปรับเปลี่ยนไฟล์
- การใช้ประโยชน์จากข้อมูลประจำตัวและสิทธิพิเศษ – ช่วยให้สามารถใช้งานเว็บเชลล์สำหรับการรวบรวมข้อมูลประจำตัว การสร้างบัญชี การรีเซ็ตรหัสผ่าน และการยกระดับสิทธิพิเศษ
- ความคงอยู่ของการบูต – คัดลอกเชลล์เว็บไปยังดิสก์บูตที่ทำงานอยู่ของ Ivanti และแก้ไขอิมเมจ coreboot เพื่อให้มั่นใจถึงการเข้าถึงในระยะยาว
ผลการค้นพบเพิ่มเติม: SPAWNSLOTH และ DSMain
นักวิจัยยังระบุสิ่งประดิษฐ์มัลแวร์เพิ่มเติมอีกสองรายการจากอุปกรณ์ ICS ที่ถูกบุกรุกภายในโครงสร้างพื้นฐานที่สำคัญ:
- SPAWNSLOTH ('liblogblock.so') – ตัวแปรที่ฝังอยู่ภายใน RESURGE ซึ่งจัดการบันทึกอุปกรณ์ Ivanti เพื่อปกปิดร่องรอย
- DSMain – ไฟล์ไบนารี Linux ELF 64 บิตที่กำหนดเอง ซึ่งประกอบด้วยสคริปต์เชลล์โอเพ่นซอร์สและส่วนประกอบจาก BusyBox ช่วยให้สามารถแยกเคอร์เนลและประนีประนอมระบบเพิ่มเติมได้
การแสวงประโยชน์แบบ Zero-Day โดยผู้ก่อภัยคุกคามรายอื่น
ที่น่าสังเกตคือ CVE-2025-0282 ยังถูกใช้ประโยชน์เป็นช่องโหว่แบบ zero-day โดย Silk Typhoon (เดิมชื่อ Hafnium ) ซึ่งเป็นอีกกลุ่มจารกรรมทางไซเบอร์ที่มีความเชื่อมโยงกับจีน สิ่งนี้เน้นย้ำถึงคุณค่าอันสูงของช่องโหว่นี้ในบรรดาผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ
กลยุทธ์การบรรเทาผลกระทบ: การก้าวไปข้างหน้าจากภัยคุกคาม
เมื่อพิจารณาถึงวิวัฒนาการที่รวดเร็วของมัลแวร์สายพันธุ์เหล่านี้ องค์กรต่างๆ จะต้องดำเนินการทันทีเพื่อปกป้องอินสแตนซ์ Ivanti ของตน:
- แก้ไขเป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ CVE-2025-0282
- รีเซ็ตข้อมูลประจำตัวสำหรับบัญชีที่มีสิทธิพิเศษและไม่มีสิทธิพิเศษ
- หมุนเวียนรหัสผ่านสำหรับบัญชีโดเมนและท้องถิ่นทั้งหมด
เนื่องจากผู้โจมตีปรับปรุงเทคนิคของตนอย่างต่อเนื่อง มาตรการป้องกันเชิงรุกจึงมีความจำเป็นต่อการปกป้องโครงสร้างพื้นฐานที่สำคัญและข้อมูลที่ละเอียดอ่อน
