RESURGE Kötü Amaçlı Yazılım
Araştırmacılar, Ivanti Connect Secure (ICS) cihazlarındaki artık yamalanmış bir güvenlik açığını istismar eden saldırılarda konuşlandırılmış yeni bir kötü amaçlı yazılım türü olan RESURGE'u ortaya çıkardı. Bu karmaşık kötü amaçlı yazılım, SPAWNCHIMERA kötü amaçlı yazılım türünün yeteneklerini temel alır ancak davranışını değiştiren benzersiz komutlar sunar.
İçindekiler
Çok Yönlü ve Tehditkar Bir Araç Takımı
RESURGE sadece basit bir istismar değildir; kök araç takımı, dropper, arka kapı, önyükleme aracı, proxy ve tünelleme aracı olarak hareket etme gibi çeşitli işlevlere sahiptir. Bu yetenekler, tehlikeye atılmış sistemler üzerinde kalıcılık ve kontrol sağlamak isteyen saldırganlar için onu zorlu bir araç haline getirir.
İstismar Edilen Güvenlik Açığı: CVE-2025-0282
Kötü amaçlı yazılım, aşağıdakiler de dahil olmak üzere birden fazla Ivanti ürününü etkileyen yığın tabanlı bir arabellek taşması güvenlik açığı olan CVE-2025-0282'den yararlanıyor:
- Ivanti Connect Secure (22.7R2.5 sürümünden önce)
- Ivanti Policy Secure (22.7R1.2 sürümünden önce)
- ZTA Ağ Geçitleri için Ivanti Nöronları (22.7R2.3 sürümünden önce)
Bu açık, uzaktan kod yürütülmesine olanak vererek saldırganların RESURGE gibi karmaşık kötü amaçlı yazılımları dağıtmasına olanak tanıyor.
SPAWN Kötü Amaçlı Yazılım Ekosistemi
Siber güvenlik araştırmacıları, CVE-2025-0282 istismarını, aşağıdaki bileşenleri içeren kötü amaçlı yazılımların SPAWN ekosistemine bağladılar:
- ÜREME
- yumurtlama köstebeği
- YUMUŞAMA SALYANGOZ
Bu ekosistemin, siber casusluk operasyonlarıyla bilinen Çin bağlantılı bir casusluk grubu olan UNC5337'ye atfedildiği belirtiliyor.
SPAWNCHIMERA: Evrimleşmiş Tehdit
Saldırı zincirindeki önemli bir gelişme, bireysel SPAWN modüllerini tek bir monolitik kötü amaçlı yazılımda birleştiren SPAWNCHIMERA varyantıdır. Bu sürüm önemli bir geliştirme sunar:
- UNIX etki alanı soketleri aracılığıyla süreçler arası iletişim
- Rakip tehdit aktörlerinin aynı güvenlik açığından faydalanmasını önlemek için CVE-2025-0282 yaması
RESURGE: SPAWNCHIMERA’nın Ötesine Bir Adım
En son sürüm olan RESURGE ('libdsupgrade.so'), SPAWNCHIMERA'yı üç ek komutla genişletiyor:
- Kalıcılık ve Sistem Yönetimi : Kendisini 'ld.so.preload' içine ekler, bir Web kabuğu kurar, bütünlük kontrollerini değiştirir ve dosyaları değiştirir.
- Kimlik Bilgisi ve Ayrıcalık İstismarı – Kimlik bilgisi toplama, hesap oluşturma, parola sıfırlama ve ayrıcalık yükseltme için Web kabuğu kullanımını etkinleştirir.
- Önyükleme Kalıcılığı – Web kabuğunu Ivanti çalışan önyükleme diskine kopyalar ve uzun vadeli erişimi garantilemek için çekirdek önyükleme görüntüsünü değiştirir.
Ek Bulgular: SPAWNSLOTH ve DSMain
Araştırmacılar ayrıca kritik altyapı içerisinde tehlikeye atılmış bir ICS cihazından iki ek kötü amaçlı yazılım eseri tespit ettiler:
- SPAWNSLOTH ('liblogblock.so') – Ivanti cihaz kayıtlarını parçaları örtecek şekilde değiştiren, RESURGE içine gömülü bir varyant.
- DSMain – BusyBox'tan açık kaynaklı bir kabuk betiği ve bileşenler içeren, çekirdek çıkarma ve daha fazla sistem ihlaline olanak tanıyan özel bir 64-bit Linux ELF ikili dosyası.
Başka Bir Tehdit Aktörü Tarafından Sıfır Gün İstismarı
Özellikle, CVE-2025-0282, Çin bağlantılı bir diğer siber casusluk grubu olan Silk Typhoon (eski adıyla Hafnium ) tarafından da sıfır gün olarak istismar edildi. Bu, devlet destekli tehdit aktörleri arasında bu güvenlik açığının yüksek değerini vurgular.
Azaltma Stratejileri: Tehditlerin Önünde Kalmak
Bu kötü amaçlı yazılım türlerinin hızla evrimleştiği göz önüne alındığında, kuruluşların Ivanti örneklerini korumak için derhal harekete geçmeleri gerekir:
- CVE-2025-0282 açığını kapatmak için son sürüme yama yapın.
- Hem ayrıcalıklı hem de ayrıcalıksız hesaplar için kimlik bilgilerini sıfırlayın.
- Tüm etki alanı ve yerel hesaplarınız için parolaları döndürün.
- Erişim politikalarını gözden geçirin ve etkilenen cihazlar için ayrıcalıkları geçici olarak iptal edin.
- Anormal aktiviteye dair herhangi bir belirti olup olmadığını kontrol edin.
Saldırganlar tekniklerini aktif olarak geliştirdikçe, kritik altyapıyı ve hassas verileri korumak için proaktif savunma önlemleri hayati önem taşıyor.
