RESURGE Шкідливе програмне забезпечення
Дослідники виявили новий штам зловмисного програмного забезпечення RESURGE, який використовувався в атаках, використовуючи виправлену вразливість безпеки в пристроях Ivanti Connect Secure (ICS). Це складне шкідливе програмне забезпечення базується на можливостях варіанту шкідливого програмного забезпечення SPAWNCHIMERA, але містить унікальні команди, які змінюють його поведінку.
Зміст
Універсальний і небезпечний інструментарій
RESURGE — це не просто експлойт — він має низку функціональних можливостей, у тому числі діючи як руткіт, дроппер, бекдор, буткіт, проксі та тунелер. Ці можливості роблять його чудовим інструментом для зловмисників, які прагнуть зберегти стійкість і контроль над скомпрометованими системами.
Використана вразливість: CVE-2025-0282
Зловмисне програмне забезпечення використовує переваги CVE-2025-0282, уразливості стекового переповнення буфера, яка впливає на кілька продуктів Ivanti, зокрема:
- Ivanti Connect Secure (до версії 22.7R2.5)
- Ivanti Policy Secure (до версії 22.7R1.2)
- Ivanti Neurons для ZTA Gateways (до версії 22.7R2.3)
Цей недолік дозволяє віддалено виконувати код, дозволяючи зловмисникам розгортати складні шкідливі програми, такі як RESURGE.
Екосистема шкідливих програм SPAWN
Дослідники з кібербезпеки пов’язали використання CVE-2025-0282 з екосистемою шкідливих програм SPAWN, яка включає такі компоненти, як:
- НЕРЕСТА
- КРОТ
- РАВЛИК
Цю екосистему приписують UNC5337, шпигунській групі Китаю, відомої своїми операціями кібершпигунства.
SPAWNCHIMERA: еволюційна загроза
Помітною розробкою в ланцюжку атак є варіант SPAWNCHIMERA, який об’єднує окремі модулі SPAWN в одне монолітне шкідливе програмне забезпечення. У цій версії представлено значне вдосконалення:
- Зв'язок між процесами через доменні сокети UNIX
- Виправлення CVE-2025-0282, щоб запобігти конкуруючим загрозам використовувати ту саму вразливість
RESURGE: крок за межі SPAWNCHIMERA
Остання ітерація, RESURGE ('libdsupgrade.so'), розширює SPAWNCHIMERA трьома додатковими командами:
- Постійність і маніпуляції системою : він вставляється в «ld.so.preload», налаштовує веб-оболонку, змінює перевірки цілісності та змінює файли.
- Використання облікових даних і привілеїв – дозволяє використовувати веб-оболонку для збору облікових даних, створення облікового запису, скидання пароля та підвищення привілеїв.
- Постійність завантаження – копіює веб-оболонку на завантажувальний диск Ivanti і змінює образ основного завантаження, щоб забезпечити тривалий доступ.
Додаткові результати: SPAWNSLOTH і DSMain
Дослідники також виявили два додаткових артефакти зловмисного програмного забезпечення з скомпрометованого пристрою ICS у критичній інфраструктурі:
- SPAWNSLOTH ('liblogblock.so') – варіант, вбудований у RESURGE, який маніпулює журналами пристроїв Ivanti, щоб приховати сліди.
- DSMain – спеціальний 64-розрядний двійковий файл Linux ELF, що містить сценарій оболонки з відкритим кодом і компоненти з BusyBox, що дозволяє видобувати ядро та подальшу компрометацію системи.
Експлуатація нульового дня іншим учасником загрози
Примітно, що CVE-2025-0282 також використовувався як нульовий день Silk Typhoon (раніше Hafnium ), іншою пов’язаною з Китаєм групою кібершпигунства. Це підкреслює високу цінність цієї вразливості серед суб’єктів загрози, спонсорованих державою.
Стратегії пом'якшення: випереджати загрозу
Враховуючи швидкий розвиток цих варіантів зловмисного програмного забезпечення, організації повинні вжити негайних заходів для захисту своїх екземплярів Ivanti:
- Патч до останньої версії, щоб закрити вразливість CVE-2025-0282.
- Скидання облікових даних для привілейованих і непривілейованих облікових записів.
- Обертайте паролі для всіх доменних і локальних облікових записів.
Оскільки зловмисники активно вдосконалюють свої методи, профілактичні заходи захисту є важливими для захисту критичної інфраструктури та конфіденційних даних.
