De US Cybersecurity and Infrastructure Security Agency (CISA) heeft licht geworpen op een nieuwe malware genaamd Opkomen Dat is geïmplementeerd als onderdeel van exploitatieactiviteit die zich richt op een nu afgestemde beveiligingsfout in Ivanti Connect Secure (ICS) -apparatuur.
“Resurge bevat de mogelijkheden van de spawnchimera -malware -variant, inclusief overlevende reboots; het opkomen bevat echter onderscheidende bevelen die zijn gedrag veranderen,” zei het bureau. “Het bestand bevat mogelijkheden van een rootkit, dropper, backdoor, bootkit, proxy en tunneler.”
De beveiligingskwetsbaarheid die verband houdt met de implementatie van de malware is CVE-2025-0282, een stack-gebaseerde bufferoverloop kwetsbaarheid die van invloed is op Ivanti Connect Secure, Policy Secure en ZTA-gateways die kunnen leiden tot externe code-uitvoering.
Het heeft invloed op de volgende versies –
- Ivanti Connect Secure vóór versie 22.7R2.5
- Ivanti beleid beveiligd vóór versie 22.7R1.2, en
- Ivanti neuronen voor zta gateways vóór versie 22.7R2.3
Volgens Google-eigendom Mandiant is CVE-2025-0282 bewapend om te leveren wat het spawn-ecosysteem van malware wordt genoemd, bestaande uit verschillende componenten zoals spawnant, spawnmole en spawnsnail. Het gebruik van spawn is toegeschreven aan een China-Nexus spionagegroep genaamd UNC5337.
Vorige maand onthulde JPCERT/CC dat het observeerde dat het beveiligingsdefect werd gebruikt om een bijgewerkte versie van Spawn te leveren, bekend als Spawnchimera, die alle bovengenoemde ongelijksoortige modules combineert in één monolithische malware, terwijl ze ook veranderingen opnemen om te vergemakkelijken inter-process communicatie via UNIX-domein-sockets.
Het meest opvallend is dat de herziene variant een functie koesterde om CVE-2025-0282 te patchen om te voorkomen dat andere kwaadaardige acteurs het voor hun campagnes exploiteren.
Resurge (“libdsupgrade.so”), volgens CISA, is een verbetering ten opzichte van spawnchimera met ondersteuning voor drie nieuwe commando’s –
- Plaats zichzelf in “ld.so.preload”, stel een webshell in, manipuleer integriteitscontroles en wijzig bestanden
- Schakel het gebruik van webshells in voor het oogsten van inloggegevens, het maken van accounts, wachtwoordresets en escalatie voor privileges
- Kopieer de webshell naar de ivanti met opstartschijf en manipuleer de running coreboot -afbeelding
CISA zei dat het ook twee andere artefacten heeft opgegraven uit het ICS-apparaat van een niet-gespecificeerde kritieke infrastructuurentiteit: een variant van Spawnsloth (“LiblogBlock.so”) in opstand en een op maat gemaakte 64-bit Linux Elf Binary (“DSMain”).
“De (spawnsloth variant) tampers met de Ivanti -apparaatlogboeken,” zei het. “Het derde bestand is een aangepaste ingebed binair getal dat een open-source shell-script en een subset van applets van de open-source tool Beakbox bevat. Het open-source shell-script zorgt voor de mogelijkheid om een niet-gecomprimeerde kernelafbeelding (VMLinux) te extraheren uit een gecompromitteerde kernelafbeelding.”
Het is vermeldenswaard dat CVE-2025-0282 ook is uitgebuit als een zero-day door een andere China-gekoppelde dreigingsgroep die werd gevolgd als zijden typhoon (voorheen Hafnium), heeft Microsoft eerder deze maand bekendgemaakt.
De nieuwste bevindingen geven aan dat de dreigingsacteurs achter de malware hun handel actief verfijnen en herwerken, waardoor het absoluut noodzakelijk is dat organisaties hun Ivanti -instanties op de nieuwste versie patchen.
Als verdere mitigatie wordt het geadviseerd om inloggegevens van bevoorrechte en niet-bevoorrechte accounts te resetten, wachtwoorden te roteren voor alle domeingebruikers en alle lokale accounts, het toegangsbeleid te bekijken om voorrechten voor getroffen apparaten tijdelijk in te trekken, relevante accountgegevens of toegangsleutels te resetten en accounts te controleren op tekenen van anomale activiteiten.
