RESURGE 惡意軟體
研究人員發現了一種新的惡意軟體 RESURGE,它已被部署在利用 Ivanti Connect Secure (ICS) 設備中現已修補的安全漏洞的攻擊中。這種複雜的惡意軟體建立在 SPAWNCHIMERA 惡意軟體變體的功能之上,但引入了修改其行為的獨特命令。
目錄
多功能且極具威脅性的工具包
RESURGE 不僅僅是一個簡單的漏洞——它具有一系列功能,包括充當 rootkit、dropper、後門、bootkit、代理和隧道程式。這些功能使其成為攻擊者尋求保持持久性和對受感染系統的控制的強大工具。
被利用的漏洞:CVE-2025-0282
該惡意軟體利用了 CVE-2025-0282,這是一個基於堆疊的緩衝區溢位漏洞,影響多個 Ivanti 產品,包括:
- Ivanti Connect Secure(版本 22.7R2.5 之前)
- Ivanti Policy Secure(版本 22.7R1.2 之前)
- Ivanti Neurons for ZTA 閘道(22.7R2.3 之前的版本)
此漏洞可導致遠端程式碼執行,從而允許攻擊者部署像 RESURGE 這樣的複雜惡意軟體。
SPAWN 惡意軟體生態系統
網路安全研究人員已將 CVE-2025-0282 漏洞利用與 SPAWN 惡意軟體生態系統連結起來,該生態系統包括以下元件:
- 產卵者
- 產卵地鼠
- 產卵蝸牛
該生態系統歸因於 UNC5337,這是一個以網路間諜活動而聞名的與中國有關的間諜組織。
SPAWNCHIMERA:演化的威脅
攻擊鏈中一個值得注意的發展是 SPAWNCHIMERA 變體,它將各個 SPAWN 模組合併為一個單一的惡意軟體。此版本引入了一項重大增強:
- 透過 UNIX 域套接字進行進程間通訊
- 修補 CVE-2025-0282,以防止競爭對手利用相同漏洞
RESURGE:超越 SPAWNCHIMERA
最新版本 RESURGE ('libdsupgrade.so') 在 SPAWNCHIMERA 基礎上擴展了三個附加指令:
- 持久性和系統操作:它將自身插入“ld.so.preload”,設定 Web shell,更改完整性檢查並修改檔案。
- 憑證和特權利用-允許使用 Web shell 來取得憑證、建立帳戶、重設密碼和提升特權。
- 啟動持久性- 將 Web shell 複製到 Ivanti 運行啟動碟並修改 coreboot 映像以確保長期存取。
其他發現:SPAWNSLOTH 和 DSMain
研究人員還在關鍵基礎設施中受感染的 ICS 設備中發現了另外兩種惡意軟體:
- SPAWNSLOTH('liblogblock.so') ——RESURGE 中嵌入的變體,可操縱 Ivanti 設備日誌來掩蓋痕跡。
- DSMain - 一個自訂的 64 位元 Linux ELF 二進位文件,包含一個開源 shell 腳本和來自 BusyBox 的元件,可實現核心提取和進一步的系統入侵。
另一個威脅行為者利用零日漏洞
值得注意的是,CVE-2025-0282 也被另一個與中國有關的網路間諜組織 Silk Typhoon (以前稱為Hafnium ) 用作零日漏洞。這凸顯了這種弱點對於國家支持的威脅行為者來說具有很高的價值。
緩解策略:預防威脅
鑑於這些惡意軟體變種的快速發展,企業必須立即採取行動來保護其 Ivanti 實例:
- 修補至最新版本以關閉CVE-2025-0282漏洞。
- 重設特權帳戶和非特權帳戶的憑證。
- 輪換所有網域和本機帳戶的密碼。
隨著攻擊者積極改進其技術,主動防禦措施對於保護關鍵基礎設施和敏感資料至關重要。
