Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menjelaskan malware baru yang disebut LAHIR KEMBALI Itu telah dikerahkan sebagai bagian dari aktivitas eksploitasi yang menargetkan cacat keamanan yang sekarang ditampilkan dalam peralatan Ivanti Connect Secure (ICS).
“Resurge berisi kemampuan varian malware Spawnchimera, termasuk reboot yang masih hidup; namun, Resurge berisi perintah khas yang mengubah perilakunya,” kata agensi itu. “File ini berisi kemampuan rootkit, dropper, backdoor, bootkit, proxy, dan tunneler.”
Kerentanan keamanan yang terkait dengan penyebaran malware adalah CVE-2025-0282, kerentanan luapan buffer berbasis tumpukan yang mempengaruhi Ivanti Connect Secure, Policy Secure, dan ZTA Gateways yang dapat mengakibatkan pelaksanaan kode jarak jauh.
Itu berdampak pada versi berikut –
- Ivanti Connect Secure Sebelum Versi 22.7R2.5
- Ivanti Policy Secure Sebelum Versi 22.7R1.2, dan
- Neuron Ivanti untuk Gateway ZTA Sebelum Versi 22.7R2.3
Menurut Mandiant milik Google, CVE-2025-0282 telah dipersenjatai untuk memberikan apa yang disebut Ekosistem Malware Spawn, yang terdiri dari beberapa komponen seperti Spawnant, Spawnmole, dan Spawnsnail. Penggunaan Spawn telah dikaitkan dengan kelompok spionase China-Nexus yang dijuluki UNC5337.
Bulan lalu, JPCERT/CC mengungkapkan bahwa mereka mengamati cacat keamanan yang digunakan untuk memberikan versi terbaru dari Spawn yang dikenal sebagai Spawnchimera, yang menggabungkan semua modul yang berbeda yang disebutkan ke dalam satu malware monolitik, sementara juga menggabungkan perubahan untuk memfasilitasi komunikasi antar proses melalui soket domain UNIX.
Yang paling menonjol, varian yang direvisi menyimpan fitur untuk Patch CVE-2025-0282 untuk mencegah aktor jahat lainnya mengeksploitasi untuk kampanye mereka.
Resurge (“libdsupgrade.so”), per CISA, adalah peningkatan dari Spawnchimera dengan dukungan untuk tiga perintah baru –
- Masukkan dirinya ke “ld.so.preload,” Siapkan shell web, memanipulasi pemeriksaan integritas, dan memodifikasi file
- Aktifkan penggunaan shells web untuk pemanenan kredensial, pembuatan akun, reset kata sandi, dan eskalasi hak istimewa
- Salin Shell Web ke Ivanti yang Menjalankan Boot Disk dan memanipulasi gambar Coreboot yang berjalan
CISA mengatakan juga menggali dua artefak lain dari perangkat ICS Entitas Infrastruktur Kritis yang tidak ditentukan: varian spawnsloth (“liblogblock.so”) yang terkandung dalam resurge dan biner Linux ELF 64-bit yang dipesan lebih dahulu (“Dsmain”).
“Itu [SPAWNSLOTH variant] Tampers dengan log perangkat Ivanti, “katanya.” File ketiga adalah biner tertanam khusus yang berisi skrip shell open-source dan subset applet dari alat open-source BusyBox. Skrip shell open-source memungkinkan kemampuan untuk mengekstraksi gambar kernel yang tidak terkompresi (vmlinux) dari gambar kernel yang dikompromikan. “
Perlu dicatat bahwa CVE-2025-0282 juga telah dieksploitasi sebagai zero-hari oleh kelompok ancaman terkait Cina lainnya yang dilacak sebagai topan sutra (sebelumnya Hafnium), Microsoft diungkapkan awal bulan ini.
Temuan terbaru menunjukkan bahwa aktor ancaman di balik malware secara aktif memperbaiki dan mengerjakan ulang tradecraft mereka, menjadikannya penting bahwa organisasi menambal instance Ivanti mereka ke versi terbaru.
Sebagai mitigasi lebih lanjut, disarankan untuk mengatur ulang kredensial akun istimewa dan tidak istimewa, memutar kata sandi untuk semua pengguna domain dan semua akun lokal, meninjau kebijakan akses untuk mencabut hak istimewa sementara untuk perangkat yang terkena dampak, mengatur ulang kredensial akun yang relevan atau tombol akses, dan memantau akun untuk tanda-tanda aktivitas anomali.
