HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)披露了一种名为“RESURGE”的新型恶意软件,该软件被用于攻击Ivanti Connect Secure(ICS)设备中已修复的安全漏洞。
CISA指出,“RESURGE”包含“SPAWNCHIMERA”恶意软件变体的功能,例如能够在设备重启后存活,但它还包含独特的指令,改变了其行为模式。该恶意软件具备多种功能,包括作为根工具包(rootkit)、下载器(dropper)、后门(backdoor)、引导工具包(bootkit)、代理(proxy)和隧道工具(tunneler)的能力。
此次攻击利用的漏洞编号为CVE-2025-0282,这是一个堆栈缓冲区溢出漏洞,影响Ivanti Connect Secure、Policy Secure和ZTA网关,可能导致远程代码执行。受影响的版本包括:
– Ivanti Connect Secure 22.7R2.5之前的版本
– Ivanti Policy Secure 22.7R1.2之前的版本
– Ivanti Neurons for ZTA网关22.7R2.3之前的版本
谷歌旗下的Mandiant公司指出,CVE-2025-0282已被用于传播名为“SPAWN”的恶意软件生态系统,包括多个组件,如SPAWNANT、SPAWNMOLE和SPAWNSNAIL。这些恶意软件被认为与中国相关的间谍组织UNC5337有关。
上个月,日本计算机应急响应小组(JPCERT/CC)发现,该漏洞被用于传播“SPAWNCHIMERA”,这是一个将上述多个模块整合为一体的单一恶意软件,同时增加了通过UNIX域套接字进行进程间通信的功能。值得注意的是,该变体还包含一个功能,用于修补CVE-2025-0282漏洞,以防止其他恶意行为者利用该漏洞进行攻击。
CISA表示,“RESURGE”(文件名为“libdsupgrade.so”)是“SPAWNCHIMERA”的改进版本,支持三种新指令:
1. 将自身插入“ld.so.preload”,设置网络外壳(web shell),操纵完整性检查和修改文件。
2. 启用网络外壳进行凭证收集、账户创建、密码重置和权限提升。
3. 将网络外壳复制到Ivanti运行的启动磁盘,并操纵运行中的核心启动镜像。
此外,CISA还从一个未指明的关键基础设施实体的ICS设备中发现了另外两个相关文件:一个“SPAWNSLOTH”变体(文件名为“liblogblock.so”),包含在“RESURGE”中;以及一个定制的64位Linux ELF二进制文件(文件名为“dsmain”)。
CISA指出,“SPAWNSLOTH”变体篡改了Ivanti设备的日志,而第三个文件是一个包含开源shell脚本和开源工具BusyBox部分功能的嵌入式二进制文件。该开源shell脚本能够从受损的内核镜像中提取未压缩的内核映像(vmlinux)。
值得注意的是,CVE-2025-0282还被另一个与中国相关的威胁组织“Silk Typhoon”(原名Hafnium)利用为零日漏洞,微软在本月早些时候披露了这一情况。
最新发现表明,恶意软件背后的攻击者正在积极改进其攻击手段,因此,各机构必须将Ivanti设备更新到最新版本。此外,建议采取进一步缓解措施,包括重置特权和非特权账户的凭证、轮换所有域用户和本地账户的密码、审查访问策略以暂时撤销受影响设备的权限、重置相关账户凭证或访问密钥,并监控账户是否有异常活动迹象。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
