RESURGE Malware
Các nhà nghiên cứu đã phát hiện ra một chủng phần mềm độc hại mới, RESURGE, đã được triển khai trong các cuộc tấn công khai thác lỗ hổng bảo mật đã được vá trong các thiết bị Ivanti Connect Secure (ICS). Phần mềm độc hại tinh vi này xây dựng dựa trên khả năng của biến thể phần mềm độc hại SPAWNCHIMERA nhưng đưa ra các lệnh độc đáo để sửa đổi hành vi của nó.
Mục lục
Một bộ công cụ đa năng và đe dọa
RESURGE không chỉ là một khai thác đơn giản—nó sở hữu một loạt các chức năng, bao gồm hoạt động như một rootkit, dropper, backdoor, bootkit, proxy và tunneler. Những khả năng này làm cho nó trở thành một công cụ đáng gờm đối với những kẻ tấn công muốn duy trì sự tồn tại và kiểm soát các hệ thống bị xâm phạm.
Lỗ hổng bị khai thác: CVE-2025-0282
Phần mềm độc hại này lợi dụng CVE-2025-0282, một lỗ hổng tràn bộ đệm dựa trên ngăn xếp ảnh hưởng đến nhiều sản phẩm Ivanti, bao gồm:
- Ivanti Connect Secure (trước phiên bản 22.7R2.5)
- Ivanti Policy Secure (trước phiên bản 22.7R1.2)
- Ivanti Neurons cho ZTA Gateways (trước phiên bản 22.7R2.3)
Lỗ hổng này cho phép thực thi mã từ xa, cho phép kẻ tấn công triển khai phần mềm độc hại tinh vi như RESURGE.
Hệ sinh thái phần mềm độc hại SPAWN
Các nhà nghiên cứu an ninh mạng đã liên kết việc khai thác CVE-2025-0282 với hệ sinh thái phần mềm độc hại SPAWN, bao gồm các thành phần như:
- ĐẺ CON
- ĐỒNG TIỀN
- ỐC SÊN
Hệ sinh thái này được cho là của UNC5337, một nhóm gián điệp có liên hệ với Trung Quốc, nổi tiếng với các hoạt động gián điệp mạng.
SPAWNCHIMERA: Mối đe dọa đã tiến hóa
Một sự phát triển đáng chú ý trong chuỗi tấn công là biến thể SPAWNCHIMERA, hợp nhất các mô-đun SPAWN riêng lẻ thành một phần mềm độc hại đơn khối duy nhất. Phiên bản này giới thiệu một cải tiến đáng kể:
- Giao tiếp giữa các tiến trình thông qua socket miền UNIX
- Bản vá CVE-2025-0282 để ngăn chặn các tác nhân đe dọa đối thủ lợi dụng cùng một lỗ hổng
RESURGE: Một bước tiến xa hơn SPAWNCHIMERA
Phiên bản mới nhất, RESURGE ('libdsupgrade.so'), mở rộng SPAWNCHIMERA bằng ba lệnh bổ sung:
- Tính bền bỉ và thao tác hệ thống : Nó tự chèn vào 'ld.so.preload', thiết lập một Web shell, thay đổi các kiểm tra tính toàn vẹn và sửa đổi các tệp.
- Khai thác thông tin xác thực và quyền hạn – Cho phép sử dụng Web shell để thu thập thông tin xác thực, tạo tài khoản, đặt lại mật khẩu và leo thang quyền hạn.
- Tính bền vững của quá trình khởi động – Sao chép Web shell vào đĩa khởi động đang chạy Ivanti và sửa đổi hình ảnh coreboot để đảm bảo quyền truy cập lâu dài.
Phát hiện bổ sung: SPAWNSLOTH và DSMain
Các nhà nghiên cứu cũng đã xác định được hai phần mềm độc hại bổ sung từ thiết bị ICS bị xâm phạm trong cơ sở hạ tầng quan trọng:
- SPAWNSLOTH ('liblogblock.so') – Một biến thể được nhúng trong RESURGE để điều khiển nhật ký thiết bị Ivanti nhằm che giấu dấu vết.
- DSMain – Tệp nhị phân ELF Linux 64-bit tùy chỉnh chứa tập lệnh shell nguồn mở và các thành phần từ BusyBox, cho phép trích xuất hạt nhân và xâm nhập hệ thống sâu hơn.
Khai thác Zero-Day của một tác nhân đe dọa khác
Đáng chú ý, CVE-2025-0282 cũng đã bị khai thác như một zero-day bởi Silk Typhoon (trước đây là Hafnium ), một nhóm gián điệp mạng khác có liên hệ với Trung Quốc. Điều này nhấn mạnh giá trị cao của lỗ hổng này trong số các tác nhân đe dọa được nhà nước bảo trợ.
Chiến lược giảm thiểu: Đi trước mối đe dọa
Do các biến thể phần mềm độc hại này phát triển nhanh chóng, các tổ chức phải hành động ngay lập tức để bảo vệ các phiên bản Ivanti của mình:
- Bản vá lỗi lên phiên bản mới nhất để vá lỗ hổng CVE-2025-0282.
- Đặt lại thông tin đăng nhập cho cả tài khoản có đặc quyền và không có đặc quyền.
- Thay đổi mật khẩu cho tất cả tài khoản miền và tài khoản cục bộ.
- Xem lại chính sách truy cập và tạm thời thu hồi quyền đối với các thiết bị bị ảnh hưởng.
- Theo dõi tài khoản để phát hiện bất kỳ dấu hiệu hoạt động bất thường nào.
Khi những kẻ tấn công đang tích cực cải tiến kỹ thuật, các biện pháp phòng thủ chủ động là điều cần thiết để bảo vệ cơ sở hạ tầng quan trọng và dữ liệu nhạy cảm.
