RESURGE 恶意软件
研究人员发现了一种新的恶意软件变种 RESURGE,它已被用于利用 Ivanti Connect Secure (ICS) 设备中现已修补的安全漏洞进行攻击。这种复杂的恶意软件以 SPAWNCHIMERA 恶意软件变种的功能为基础,但引入了修改其行为的独特命令。
目录
多功能且极具威胁性的工具包
RESURGE 不仅仅是一个简单的漏洞利用程序,它还具有一系列功能,包括充当 rootkit、dropper、后门、bootkit、代理和隧道程序。这些功能使其成为攻击者想要保持持久性和对受感染系统的控制的强大工具。
被利用的漏洞:CVE-2025-0282
该恶意软件利用了 CVE-2025-0282,这是一个基于堆栈的缓冲区溢出漏洞,影响多个 Ivanti 产品,包括:
- Ivanti Connect Secure(版本 22.7R2.5 之前)
- Ivanti Policy Secure(版本 22.7R1.2 之前)
- Ivanti Neurons for ZTA 网关(22.7R2.3 之前的版本)
该漏洞可导致远程代码执行,从而允许攻击者部署像 RESURGE 这样的复杂恶意软件。
SPAWN 恶意软件生态系统
网络安全研究人员已将 CVE-2025-0282 漏洞利用与 SPAWN 恶意软件生态系统联系起来,该生态系统包括以下组件:
- 产卵者
- 产卵地鼠
- 产卵蜗牛
该生态系统归因于 UNC5337,这是一个以网络间谍活动而闻名的与中国有关的间谍组织。
SPAWNCHIMERA:进化的威胁
攻击链中一个值得注意的发展是 SPAWNCHIMERA 变体,它将各个 SPAWN 模块合并为一个单一的恶意软件。此版本引入了一项重大增强:
- 通过 UNIX 域套接字进行进程间通信
- 修补 CVE-2025-0282,以防止竞争对手利用同一漏洞
RESURGE:超越 SPAWNCHIMERA
最新版本 RESURGE ('libdsupgrade.so') 在 SPAWNCHIMERA 基础上扩展了三个附加命令:
- 持久性和系统操作:它将自身插入“ld.so.preload”,设置 Web shell,更改完整性检查并修改文件。
- 凭证和特权利用——允许使用 Web shell 来获取凭证、创建帐户、重置密码和提升特权。
- 启动持久性- 将 Web shell 复制到 Ivanti 运行启动盘并修改 coreboot 映像以确保长期访问。
其他发现:SPAWNSLOTH 和 DSMain
研究人员还在关键基础设施中受感染的 ICS 设备中发现了另外两种恶意软件:
- SPAWNSLOTH('liblogblock.so') ——RESURGE 中嵌入的变体,可操纵 Ivanti 设备日志来掩盖踪迹。
- DSMain - 一个自定义的 64 位 Linux ELF 二进制文件,包含一个开源 shell 脚本和来自 BusyBox 的组件,可实现内核提取和进一步的系统入侵。
另一个威胁行为者利用零日漏洞
值得注意的是,CVE-2025-0282 还被另一个与中国有关的网络间谍组织 Silk Typhoon (以前称为Hafnium ) 用作零日漏洞。这凸显了该漏洞在国家支持的威胁行为者中的重要性。
缓解策略:预防威胁
鉴于这些恶意软件变种的快速发展,企业必须立即采取行动来保护其 Ivanti 实例:
- 修补至最新版本以关闭CVE-2025-0282漏洞。
- 重置特权帐户和非特权帐户的凭据。
- 轮换所有域和本地帐户的密码。
随着攻击者积极改进其技术,主动防御措施对于保护关键基础设施和敏感数据至关重要。
