Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) RESURGE Malware

RESURGE Malware

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware
Isalin To:
Wikang Filipino

Natuklasan ng mga mananaliksik ang isang bagong strain ng malware, ang RESURGE, na na-deploy sa mga pag-atake na nagsasamantala sa isang na-patch na ngayon na kahinaan sa seguridad sa Ivanti Connect Secure (ICS) appliances. Ang sopistikadong malware na ito ay bumubuo sa mga kakayahan ng SPAWNCHIMERA malware variant ngunit nagpapakilala ng mga natatanging command na nagbabago sa gawi nito.

Isang Maraming Gamit at Mapanganib na Toolkit

Ang RESURGE ay hindi lamang isang simpleng pagsasamantala—ito ay nagtataglay ng isang hanay ng mga functionality, kabilang ang pagkilos bilang isang rootkit, dropper, backdoor, bootkit, proxy at tunneler. Ang mga kakayahang ito ay ginagawa itong isang kakila-kilabot na tool para sa mga umaatake na naghahanap upang mapanatili ang pagtitiyaga at kontrol sa mga nakompromisong system.

Ang Pinagsamantalahang Kahinaan: CVE-2025-0282

Sinasamantala ng malware ang CVE-2025-0282, isang stack-based na buffer overflow na kahinaan na nakakaapekto sa maraming produkto ng Ivanti, kabilang ang:

  • Ivanti Connect Secure (bago ang bersyon 22.7R2.5)
  • Ivanti Policy Secure (bago ang bersyon 22.7R1.2)
  • Ivanti Neurons para sa ZTA Gateways (bago ang bersyon 22.7R2.3)

Ang kapintasan na ito ay nagbibigay-daan sa pagpapatupad ng malayuang code, na nagpapahintulot sa mga umaatake na mag-deploy ng sopistikadong malware tulad ng RESURGE.

Ang SPAWN Malware Ecosystem

Iniugnay ng mga mananaliksik sa cybersecurity ang CVE-2025-0282 na pagsasamantala sa SPAWN ecosystem ng malware, na kinabibilangan ng mga bahagi gaya ng:

  • SPAWANT
  • SPAWNMOLE
  • SPAWNSNAIL

Na-attribute ang ecosystem na ito sa UNC5337, isang grupong espionage ng China-nexus na kilala sa mga operasyong cyber-espionage.

SPAWNCHIMERA: Ang Evolved Threat

Ang isang kapansin-pansing pag-unlad sa chain ng pag-atake ay ang variant ng SPAWNCHIMERA, na pinagsasama-sama ang indibidwal na mga module ng SPAWN sa isang monolitikong malware. Ang bersyon na ito ay nagpapakilala ng isang makabuluhang pagpapahusay:

  • Inter-process na komunikasyon sa pamamagitan ng UNIX domain sockets
  • Pag-patch ng CVE-2025-0282 upang maiwasan ang mga karibal na banta ng aktor sa paggamit ng parehong kahinaan

RESURGE: Isang Hakbang Higit pa sa SPAWNCHIMERA

Ang pinakabagong pag-ulit, RESURGE ('libdsupgrade.so'), ay lumalawak sa SPAWNCHIMERA na may tatlong karagdagang command:

  • Pagtitiyaga at Pagmamanipula ng System : Ipinapasok nito ang sarili nito sa 'ld.so.preload', nagse-set up ng isang Web shell, binabago ang mga pagsusuri sa integridad at binabago ang mga file.
  • Pagsasamantala sa Kredensyal at Pribilehiyo – Pinapagana ang paggamit ng Web shell para sa pag-aani ng kredensyal, paggawa ng account, pag-reset ng password at pagdami ng pribilehiyo.
  • Boot Persistence – Kinokopya ang Web shell sa Ivanti running boot disk at binago ang coreboot image para matiyak ang pangmatagalang access.

Mga Karagdagang Natuklasan: SPAWNSLOTH at DSMmain

Natukoy din ng mga mananaliksik ang dalawang karagdagang artifact ng malware mula sa isang nakompromisong ICS device sa loob ng kritikal na imprastraktura:

  • SPAWNSLOTH ('liblogblock.so') – Isang variant na naka-embed sa loob ng RESURGE na nagmamanipula ng mga log ng Ivanti device upang masakop ang mga track.
  • DSMmain – Isang custom na 64-bit na Linux ELF binary na naglalaman ng open-source shell script at mga bahagi mula sa BusyBox, na nagpapagana ng kernel extraction at karagdagang kompromiso sa system.

Zero-Day Exploitation ng Another Threat Actor

Kapansin-pansin, ang CVE-2025-0282 ay pinagsamantalahan din bilang zero-day ng Silk Typhoon (dating Hafnium ), isa pang grupong cyber-espionage na nauugnay sa China. Binibigyang-diin nito ang mataas na halaga ng kahinaang ito sa mga aktor ng pagbabanta na inisponsor ng estado.

Mga Istratehiya sa Pagbabawas: Manatiling Nauuna sa Banta

Dahil sa mabilis na ebolusyon ng mga variant ng malware na ito, ang mga organisasyon ay dapat gumawa ng agarang pagkilos upang protektahan ang kanilang mga pagkakataon sa Ivanti:

  • Patch sa pinakabagong bersyon upang isara ang kahinaan ng CVE-2025-0282.
  • I-reset ang mga kredensyal para sa parehong privileged at non-privileged account.
  • I-rotate ang mga password para sa lahat ng domain at lokal na account.
  • Suriin ang mga patakaran sa pag-access at pansamantalang bawiin ang mga pribilehiyo para sa mga apektadong device.
  • Subaybayan ang mga account para sa anumang mga palatandaan ng maanomalyang aktibidad.

    • Sa aktibong pagpipino ng mga umaatake sa kanilang mga diskarte, mahalaga ang mga proactive na hakbang sa pagtatanggol sa pagprotekta sa mga kritikal na imprastraktura at sensitibong data.

    Trending

    Pinaka Nanood

    Naglo-load...