美国网络安全和基础设施安全局(CISA)披露了一种名为 RESURGE 的新型恶意软件,该软件已被用于针对 Ivanti Connect Secure(ICS)设备上一个现已修复的安全漏洞的攻击活动。
CISA 表示:“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能,包括能够抵御系统重启;然而,RESURGE 包含独特的命令,可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。”
与恶意软件部署相关的安全问题是 CVE-2025-0282,这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞,可能导致远程代码执行。
该漏洞影响以下版本:
- Ivanti Connect Secure 22.7R2.5 之前的版本
- Ivanti Policy Secure 22.7R1.2 之前的版本
- Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本
据谷歌旗下的 Mandiant 公司称,CVE-2025-0282 已被武器化,用于传播所谓的 SPAWN 恶意软件生态系统,包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。
上个月,日本计算机应急响应中心(JPCERT/CC)透露,观察到该安全缺陷被用于传播 SPAWN 的一个更新版本,称为 SPAWNCHIMERA,它将上述所有不同的模块整合为一个单一的恶意软件,同时还进行了修改,以通过 UNIX 域套接字促进进程间通信。
值得注意的是,该修订版包含一个功能,可以修补 CVE-2025-0282,以防止其他恶意行为者利用它进行自己的攻击活动。
CISA 表示,RESURGE(“libdsupgrade.so”)是 SPAWNCHIMERA 的改进版,支持三种新命令:
- 将自身插入“ld.so.preload”,设置网页后门,操纵完整性检查和修改文件。
- 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。
- 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。
CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件:RESURGE 中包含的 SPAWNSLOTH 变体(“liblogblock.so”)和一个定制的 64 位 Linux ELF 二进制文件(“dsmain”)。
CISA 称:“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件,包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像(vmlinux)。”
值得注意的是,CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon(前身为 Hafnium)作为零日漏洞加以利用,微软本月早些时候披露了这一消息。
最新发现表明,恶意软件背后的威胁行为者正在积极改进和调整其技术,因此组织必须立即将其 Ivanti 实例更新到最新版本。
作为进一步的缓解措施,建议重置特权和非特权账户的凭证,轮换所有域用户和所有本地账户的密码,审查访问策略以暂时撤销受影响设备的权限,重置相关账户的凭证或访问密钥,并监控账户是否有异常活动迹象。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容