В петък американската агенция за киберсигурност CISA публикува своя анализ на зловредния софтуер, използван от китайски хакери при атаки, използващи нулевия ден на Ivanti Connect Secure, поправен през януари 2025 г.
Проблемът, проследен като CVE-2025-0282 (CVSS оценка 9,0), се описва като препълване на буфера на базата на стека, което позволява на нападателите да изпълняват произволен код от разстояние, без удостоверяване.
Ivanti обяви пачове за грешката на 8 януари, като предупреди за активната ѝ експлоатация. На следващия ден Mandiant разкри, че тя е експлоатирана от декември 2024 г. от свързана с Китай шпионска група, проследена като UNC5221.
Колективът, за когото е известно, че и преди се е насочвал към други уязвимости на Ivanti VPN, е експлоатирал CVE-2025-0282, за да разгърне зловреден софтуер от фамилията Spawn, която включва инсталатора SpawnAnt, тунела SpawnMole и задната врата SpawnSnail SSH.
На 20 февруари JPCERT/CC разкри, че множество заплахи вече са се насочили към уязвимостта, като потвърди, че в някои от атаките е използван нов член на семейството зловреден софтуер Spawn, проследен като SpawnChimera.
Според JPCERT/CC SpawnChimera съдържа актуализирани итерации на SpawnAnt, SpawnMole и SpawnSnail. Зловредният софтуер може да бъде инжектиран в различни процеси, като се изпълнява във всеки един от тях, и съдържа функция за поправка на CVE-2025-0282.
На 28 март CISA публикува собствен анализ на зловреден софтуер, събран от случай на експлоатация на CVE-2025-0282, който проследява като Resurge и който е бил пуснат на компрометираното устройство Ivanti Connect Secure като библиотека за споделяне на Linux с име „libdsupgrade.so“.
„Файлът съдържа възможности на руткит, дропър, бекдор, буткит, прокси и тунел. Файлът има сходна функционалност със зловредния софтуер SpawnChimera; този файл обаче съдържа серия от команди, които променят файлове, манипулират проверките за цялостност и създават уеб обвивка, която се копира на работещия стартов диск на Ivanti“, отбелязва CISA.
Подобно на SpawnChimera, Resurge проверява дали се зарежда от програма, наречена „web“ или „dsmdm“, за да закачи функциите accept и strncpy и да създаде прокси за тунелиране или да създаде нишка за защитен шел чрез SSH.
Той съдържа и серия от команди за създаване на уеб шел за отдалечено изпълнение на команди, за манипулиране на RAM диска на coreboot и за изпълнение на команди sed за промяна на два Python файла. Зловредният софтуер създава устойчивост, като се вмъква във файла ‘ld.so.preload’.
CISA също така отбелязва, че анализираният образец съдържа вариант на зловредния софтуер SpawnSloth, който може да модифицира логовете на устройствата Ivanti. Той е бил пуснат на компрометираното устройство като ‘liblogblock.so’.
Третият зловреден файл, използван при атаката, наречен „dsmain“, е 64-битов изпълним файл за Linux, съдържащ скрипт с отворен код и аплети от BusyBox, които са били използвани за извличане на образа на ядрото и съответно за изтегляне и изпълнение на товари.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
