В петък американската агенция за киберсигурност CISA публикува своя анализ на зловредния софтуер, използван от китайски хакери при атаки, използващи нулевия ден на Ivanti Connect Secure, поправен през януари 2025 г.
Проблемът, проследен като CVE-2025-0282 (CVSS оценка 9,0), се описва като препълване на буфера на базата на стека, което позволява на нападателите да изпълняват произволен код от разстояние, без удостоверяване.
Ivanti обяви пачове за грешката на 8 януари, като предупреди за активната ѝ експлоатация. На следващия ден Mandiant разкри, че тя е експлоатирана от декември 2024 г. от свързана с Китай шпионска група, проследена като UNC5221.
Колективът, за когото е известно, че и преди се е насочвал към други уязвимости на Ivanti VPN, е експлоатирал CVE-2025-0282, за да разгърне зловреден софтуер от фамилията Spawn, която включва инсталатора SpawnAnt, тунела SpawnMole и задната врата SpawnSnail SSH.
На 20 февруари JPCERT/CC разкри, че множество заплахи вече са се насочили към уязвимостта, като потвърди, че в някои от атаките е използван нов член на семейството зловреден софтуер Spawn, проследен като SpawnChimera.
Според JPCERT/CC SpawnChimera съдържа актуализирани итерации на SpawnAnt, SpawnMole и SpawnSnail. Зловредният софтуер може да бъде инжектиран в различни процеси, като се изпълнява във всеки един от тях, и съдържа функция за поправка на CVE-2025-0282.
На 28 март CISA публикува собствен анализ на зловреден софтуер, събран от случай на експлоатация на CVE-2025-0282, който проследява като Resurge и който е бил пуснат на компрометираното устройство Ivanti Connect Secure като библиотека за споделяне на Linux с име „libdsupgrade.so“.
„Файлът съдържа възможности на руткит, дропър, бекдор, буткит, прокси и тунел. Файлът има сходна функционалност със зловредния софтуер SpawnChimera; този файл обаче съдържа серия от команди, които променят файлове, манипулират проверките за цялостност и създават уеб обвивка, която се копира на работещия стартов диск на Ivanti“, отбелязва CISA.
Подобно на SpawnChimera, Resurge проверява дали се зарежда от програма, наречена „web“ или „dsmdm“, за да закачи функциите accept и strncpy и да създаде прокси за тунелиране или да създаде нишка за защитен шел чрез SSH.
Той съдържа и серия от команди за създаване на уеб шел за отдалечено изпълнение на команди, за манипулиране на RAM диска на coreboot и за изпълнение на команди sed за промяна на два Python файла. Зловредният софтуер създава устойчивост, като се вмъква във файла ‘ld.so.preload’.
CISA също така отбелязва, че анализираният образец съдържа вариант на зловредния софтуер SpawnSloth, който може да модифицира логовете на устройствата Ivanti. Той е бил пуснат на компрометираното устройство като ‘liblogblock.so’.
Третият зловреден файл, използван при атаката, наречен „dsmain“, е 64-битов изпълним файл за Linux, съдържащ скрипт с отворен код и аплети от BusyBox, които са били използвани за извличане на образа на ядрото и съответно за изтегляне и изпълнение на товари.
