RESURGE kenkėjiška programa: kibernetinė grėsmė, nukreipta į „Ivanti“ įrenginius

malware warning

RESURGE kenkėjiška programa iškyla kaip sudėtinga kibernetinio saugumo grėsmė, ypač nukreipta į Ivanti Connect Secure (ICS) įrenginių spragas. Pasak JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) , RESURGE remiasi anksčiau identifikuotu kenkėjiškų programų variantu, žinomu kaip SPAWNCHIMERA , tačiau su žymiais patobulinimais, kurie daro ją patvaresnę ir pavojingesnę.

Užuot sukėlus nerimą, šiuo straipsniu siekiama informuoti IT specialistus, saugos analitikus ir organizacijas apie RESURGE, kaip jis veikia ir ką galima padaryti norint sumažinti riziką.

Kas yra RESURGE kenkėjiška programa?

RESURGE yra daugiafunkcinė kenkėjiška programa, galinti veikti kaip rootkit, dropper, backdoor, bootkit, tarpinis serveris ir tuneris . Jis įdiegtas siekiant išnaudoti žinomą saugos pažeidžiamumą, identifikuotą kaip CVE-2025-0282 , kuris anksčiau paveikė Ivanti Connect Secure, Policy Secure ir Neurons for ZTA Gateways.

Šis konkretus pažeidžiamumas yra dėklo buferio perpildymo trūkumas, leidžiantis užpuolikams nuotoliniu būdu vykdyti kenkėjišką kodą. Jei nepataisoma, ji gali suteikti kibernetiniams nusikaltėliams slaptą ir nuolatinį įsitvirtinimą pažeistuose tinkluose.

CISA atlikta RESURGE analizė rodo, kad ji turi panašumų su SPAWNCHIMERA – atnaujintu SPAWN kenkėjiškų programų ekosistemos variantu, priskirtu Kinijoje veikiančiai šnipinėjimo grupei (UNC5337). Tačiau RESURGE žengia toliau, įtraukdama papildomų galimybių, todėl ji yra veiksmingesnė priemonė kibernetiniams įsilaužimams.

Kaip veikia RESURGE?

Įdiegtas pažeidžiamame „Ivanti“ įrenginyje, RESURGE atlieka daugybę sudėtingų funkcijų:

  1. Patvarumas ir sistemos manipuliavimas
    • Jis gali atlaikyti sistemos paleidimą iš naujo, užtikrinant, kad jis išliktų net ir iš naujo paleidus įrenginį.
    • Ji pakeičia sistemos vientisumo patikras ir pakeičia pagrindinius failus, kad būtų išvengta aptikimo.
  2. Web Shell diegimas
    • Tai leidžia pasiekti žiniatinklio apvalkalą, kurį galima išnaudoti kredencialų vagystei, neteisėtam paskyros kūrimui, slaptažodžio nustatymui iš naujo ir privilegijų eskalavimui.
    • Užpuolikai gali naudotis šia prieiga, kad išlaikytų sistemos kontrolę ir palengvintų tolesnį įsibrovimą.
  3. Įkrovos lygio manipuliavimas
    • RESURGE gali nukopijuoti kenkėjiškus žiniatinklio apvalkalus į veikiantį Ivanti įrenginio įkrovos diską.
    • Jis taip pat turi galimybę manipuliuoti veikiančiu pagrindinio įkrovos vaizdu, kuris užtikrina gilų sistemos lygio valdymą.

Kodėl RESURGE kelia susirūpinimą?

RESURGE buvimas pažeistose sistemose kelia rimtų pasekmių saugumui:

  • Duomenų pažeidimas ir šnipinėjimas: užpuolikai gali naudoti kenkėjišką programą, kad pavogtų slaptus kredencialus, manipuliuotų prieigos valdikliais ir rinktų žvalgybos informaciją.
  • Kompromisas tinkle: kenkėjiškos programos tarpinio serverio ir tuneliavimo galimybės leidžia sukurti užpakalinių durų ryšius, leidžiančius išorinėms grėsmėms nepastebimai pasiekti vidinius tinklus.
  • Kenkėjiškų programų evoliucija: faktas, kad RESURGE remiasi ankstesnėmis kenkėjiškomis programomis, rodo, kad jos operatoriai nuolat tobulina savo taktiką, todėl tikėtina, kad būsimi variantai bus dar atsparesni ir sunkiau aptinkami.

Pažymėtina, kad „Microsoft“ taip pat susiejo CVE-2025-0282 pažeidžiamumą su kita su Kinija susijusia grėsmių grupe „Silk Typhoon“ (anksčiau – „Hafnium“). Tai rodo, kad kelios kibernetinio šnipinėjimo grupės aktyviai naudojasi Ivanti pažeidžiamumu įvairioms atakų kampanijoms.

Kaip organizacijos gali apsisaugoti?

Kadangi RESURGE išnaudoja žinomą saugumo trūkumą, pataisymas išlieka svarbiausia gynybos strategija. „Ivanti“ išleido atnaujinimus, kad ištaisytų pažeidžiamumą, o organizacijos raginamos nedelsiant pritaikyti šiuos pataisymus.

Be pataisymo, saugos komandos turėtų imtis papildomų atsargumo priemonių, kad sumažintų kompromiso riziką:

  • Iš naujo nustatyti ir pasukti kredencialus:
    • Pakeiskite visų domeno vartotojų ir vietinių paskyrų slaptažodžius, kurie galėjo būti paveikti.
    • Iš naujo nustatykite privilegijuotų ir neprivilegijuotų paskyrų kredencialus, kad išvengtumėte neteisėtos prieigos.
  • Peržiūrėkite ir koreguokite prieigos politiką:
    • Laikinai atšaukti paveiktų įrenginių administravimo teises.
    • Jei įmanoma, įdiekite kelių veiksnių autentifikavimą (MFA), kad pridėtumėte papildomą saugos lygį.
  • Stebėti anomalijas:
    • Aktyviai peržiūrėkite tinklo ir sistemos žurnalus, ar nėra neįprastos veiklos, ypač bandymų neteisėtai pasiekti.
    • Įdiekite galinių taškų aptikimo ir atsako (EDR) sprendimus, kad aptiktumėte ir neutralizuotumėte galimą kenkėjiškų programų elgesį.
  • Atlikite saugumo auditą:
    • Reguliariai tikrinkite ugniasienės taisykles, sistemos vientisumą ir prieigos žurnalus, kad įsitikintumėte, jog nebuvo atlikta neteisėtų pakeitimų.
    • Įdiekite griežtą kritinių sistemų ir atvirų paslaugų segmentavimą, kad sumažintumėte pažeidimo poveikį.

Apatinė eilutė

Kenkėjiškos programinės įrangos RESURGE atradimas išryškina nuolat besikeičiantį kibernetinių grėsmių pobūdį, ypač susijusių su valstybės remiamomis šnipinėjimo kampanijomis. Nors ši kenkėjiška programa yra labai sudėtinga, organizacijos gali sumažinti jos riziką, išlikdamos budrios, taikydamos pataisas ir vykdydamos griežtą saugos politiką.

Imdamosi iniciatyvios pozicijos dėl kibernetinio saugumo, įmonės ir vyriausybės subjektai gali užtikrinti, kad jų „Ivanti“ įrenginiai ir platesnė IT infrastruktūra išliktų apsaugoti nuo kylančių grėsmių. RESURGE – tai priminimas, kad kibernetinis saugumas yra ne vienkartinės pastangos, o nuolatinis prisitaikymo ir gynybos procesas.

Iki Willa m
April 1, 2025
Kenkėjiška programa
Lietuvių
April 1, 2025
Kenkėjiška programa

Populiarūs skelbimai

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

11 months atgal

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

12 days atgal

Atkreipkite dėmesį: kažkas jus įtraukė kaip atkūrimo el. pašto...

10 months atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

7 months atgal

Galimai rimta grėsmė: Trojos arklys:Win32/Suschil!rfn

19 days atgal

Kas yra Packunwan Trojos arklio grėsmė ir kaip ji gali...

11 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.