Новая вредоносная программа RESURGE, выявленная специалистами CISA, нацелена на устройства Ivanti Connect Secure, Policy Secure и Neurons for ZTA, используя критическую уязвимость CVE-2025-0282, представляющую собой переполнение буфера на основе стека.
Файл "libdsupgrade.so" внедряет в себя комплекс функций, унаследованных от варианта SPAWNCHIMERA, объединяя возможности rootkit, загрузчика, бэкдора, буткита, прокси и туннелирования для сохранения работоспособности даже после перезагрузки.
Набор новых команд RESURGE позволяет вставлять код в "ld.so.preload" для настройки web shell, а также манипулировать механизмами контроля целостности и содержимым файлов, обеспечивая доступ к управлению системой через удалённые соединения.
Программа применяет web shell для добычи учетных данных, создания новых аккаунтов, сброса паролей и повышения привилегий, а также копирует свой скрипт в загрузочный раздел устройства Ivanti, изменяя текущий образ coreboot.
Уязвимость CVE-2025-0282, эксплуатируемая до версий Ivanti Policy Secure 22.7R1.2 и Neurons for ZTA 22.7R2.3, позволяет злоумышленникам выполнять удалённый код, а её использование связывают с элементами SPAWN-экосистемы, включающей SPAWNANT, SPAWNMOLE и SPAWNSNAIL, что указывает на связь с группой UNC5337, действующей в интересах Китая.
Обновлённая версия SPAWNCHIMERA демонстрирует усиленную функциональность благодаря встроенному межпроцессному взаимодействию через UNIX-сокеты и включает собственный патч для CVE-2025-0282, предотвращающий дальнейшую эксплуатацию уязвимости другими злоумышленниками.
На одном из критически важных устройств Ivanti также обнаружены дополнительные артефакты: вариант SPAWNSLOTH под именем "liblogblock.so", предназначенный для искажения логов, и специализированный 64-битный ELF-бинарный файл "dsmain", содержащий встроенный shell-скрипт и составляющие BusyBox для извлечения незакомпрессированного ядра (vmlinux) из изменённого образа.
Группы UNC5337 и Silk Typhoon (ранее Hafnium) активно используют эксплойт CVE-2025-0282 в рамках атак с нулевым днём, что подчёркивает рост угроз со стороны профессиональных кибершпионских структур.
Рекомендуется немедленно обновить устройства Ivanti до последних версий для устранения уязвимости, а также провести ротацию паролей, сброс учетных данных, пересмотр политик доступа и усиленный мониторинг активности системы в соответствии с рекомендациями специалистов по кибербезопасности.
Изображение носит иллюстративный характер
Файл "libdsupgrade.so" внедряет в себя комплекс функций, унаследованных от варианта SPAWNCHIMERA, объединяя возможности rootkit, загрузчика, бэкдора, буткита, прокси и туннелирования для сохранения работоспособности даже после перезагрузки.
Набор новых команд RESURGE позволяет вставлять код в "ld.so.preload" для настройки web shell, а также манипулировать механизмами контроля целостности и содержимым файлов, обеспечивая доступ к управлению системой через удалённые соединения.
Программа применяет web shell для добычи учетных данных, создания новых аккаунтов, сброса паролей и повышения привилегий, а также копирует свой скрипт в загрузочный раздел устройства Ivanti, изменяя текущий образ coreboot.
Уязвимость CVE-2025-0282, эксплуатируемая до версий Ivanti Policy Secure 22.7R1.2 и Neurons for ZTA 22.7R2.3, позволяет злоумышленникам выполнять удалённый код, а её использование связывают с элементами SPAWN-экосистемы, включающей SPAWNANT, SPAWNMOLE и SPAWNSNAIL, что указывает на связь с группой UNC5337, действующей в интересах Китая.
Обновлённая версия SPAWNCHIMERA демонстрирует усиленную функциональность благодаря встроенному межпроцессному взаимодействию через UNIX-сокеты и включает собственный патч для CVE-2025-0282, предотвращающий дальнейшую эксплуатацию уязвимости другими злоумышленниками.
На одном из критически важных устройств Ivanti также обнаружены дополнительные артефакты: вариант SPAWNSLOTH под именем "liblogblock.so", предназначенный для искажения логов, и специализированный 64-битный ELF-бинарный файл "dsmain", содержащий встроенный shell-скрипт и составляющие BusyBox для извлечения незакомпрессированного ядра (vmlinux) из изменённого образа.
Группы UNC5337 и Silk Typhoon (ранее Hafnium) активно используют эксплойт CVE-2025-0282 в рамках атак с нулевым днём, что подчёркивает рост угроз со стороны профессиональных кибершпионских структур.
Рекомендуется немедленно обновить устройства Ivanti до последних версий для устранения уязвимости, а также провести ротацию паролей, сброс учетных данных, пересмотр политик доступа и усиленный мониторинг активности системы в соответствии с рекомендациями специалистов по кибербезопасности.
