Bir VPN erişim yazılımı olan Ivantis Connect Secure (ICS) 'de bir güvenlik açığı Ocak ayında biliniyordu ve doğrudan malign aktörler tarafından saldırıya uğradı. ABD BT Güvenlik Otoritesi, hala çalıştıktan sonra, tehlikeye atılan cihazlara başarılı saldırılardan sonra tehlikeye atılan cihazlarda kötü amaçlı yazılım buldu.
CISA, kötü amaçlı yazılım bulgularını bir alarm duyurusunda tartışıyor. Yakın zamanda saldırıları inceledikten sonra yetkililer, enfekte yetkililer üzerinde “yeniden güç” dedikleri kötü amaçlı yazılım buldular. Japon sertifikasının Şubat ayında Ivanti ics-Lücke CVE-2025-0282'nin kötüye kullanılmasından sonra suçlular tarafından kurulduğunu bildirdiği Schadsoftware ailesi “Spawn-chimera” nın becerilerine sahipti.
“Resurge”: Daha fazla gelişmiş haşere
Sınav sırasında BT araştırmacıları, kötü amaçlı yazılımın yeniden başlatıldığı işlevlerle karşılaştı. Ancak davranışı değiştiren diğer komutları biliyor. Böylece “Resurge” bir webshell kurabilir, bütünlük testlerini manipüle edebilir ve dosyaları değiştirebilir. Webshell, erişim verilerinde casusluk, muhasebe, şifre sıfırlaması ve hakların uzantısı için kullanılabilir. Buna ek olarak, Web Shell, Ivantis IC'lerin önyükleme diskine ve CoreBoot görüntüsüne entegre edilebilir.
CISA başka notlar verir. Daha ayrıntılı analiz hala enfeksiyonlar (uzlaşma, IOCS göstergeleri) ve Yara tanıma kuralları hakkında bilgi sağlar. İlgilenen taraflar ayrıca analistlerin kötü amaçlı yazılım dosyalarının derinlemesine işlevsel analizlerini bulurlar.
Üç dosya, örneğin komut ve kontrol sunucusu (C2) için güvenli kabuk (SSH) bir tünel kullanma işlevi ile işlevsel “Spawnchimera” olan “Resurge” ana dosyasıdır. Bu, Ivanti günlüklerini manipüle eden bir “Spawnsloth” çeşidinin yanı sıra açık kaynaklı bir kabuk komut dosyası ve açık kaynaklı araç kutusu meşgul kutusundan bir uygulama koleksiyonu içeren gömülü bir ikili dosyayı içerir. Araçlar, bozulmamış bir çekirdek görüntüsünden sıkıştırılmamış bir Linux çekirdek görüntüsünü (VMLINUX) çıkarabilir. Buna ek olarak, meşgul kutusu araçları, ödün verilen cihazlarda diğer kötü amaçlı yazılımların indirilmesini ve yürütülmesini sağlar.
Yılın başında Ivanti, boşluk ve bilinen saldırıları uyardı. Güncellenmiş yazılım temel hataları düzeltir. Google'ın iştiraki Mandiant, “Yumurtlama” ailesinin varyantları için zaten ilk kötü amaçlı yazılım analizleri sağlamıştı. Ancak, şimdi izlenen kötü amaçlı yazılım yeni ve daha da geliştirilmiştir.
(DMK)
CISA, kötü amaçlı yazılım bulgularını bir alarm duyurusunda tartışıyor. Yakın zamanda saldırıları inceledikten sonra yetkililer, enfekte yetkililer üzerinde “yeniden güç” dedikleri kötü amaçlı yazılım buldular. Japon sertifikasının Şubat ayında Ivanti ics-Lücke CVE-2025-0282'nin kötüye kullanılmasından sonra suçlular tarafından kurulduğunu bildirdiği Schadsoftware ailesi “Spawn-chimera” nın becerilerine sahipti.
“Resurge”: Daha fazla gelişmiş haşere
Sınav sırasında BT araştırmacıları, kötü amaçlı yazılımın yeniden başlatıldığı işlevlerle karşılaştı. Ancak davranışı değiştiren diğer komutları biliyor. Böylece “Resurge” bir webshell kurabilir, bütünlük testlerini manipüle edebilir ve dosyaları değiştirebilir. Webshell, erişim verilerinde casusluk, muhasebe, şifre sıfırlaması ve hakların uzantısı için kullanılabilir. Buna ek olarak, Web Shell, Ivantis IC'lerin önyükleme diskine ve CoreBoot görüntüsüne entegre edilebilir.
CISA başka notlar verir. Daha ayrıntılı analiz hala enfeksiyonlar (uzlaşma, IOCS göstergeleri) ve Yara tanıma kuralları hakkında bilgi sağlar. İlgilenen taraflar ayrıca analistlerin kötü amaçlı yazılım dosyalarının derinlemesine işlevsel analizlerini bulurlar.
Üç dosya, örneğin komut ve kontrol sunucusu (C2) için güvenli kabuk (SSH) bir tünel kullanma işlevi ile işlevsel “Spawnchimera” olan “Resurge” ana dosyasıdır. Bu, Ivanti günlüklerini manipüle eden bir “Spawnsloth” çeşidinin yanı sıra açık kaynaklı bir kabuk komut dosyası ve açık kaynaklı araç kutusu meşgul kutusundan bir uygulama koleksiyonu içeren gömülü bir ikili dosyayı içerir. Araçlar, bozulmamış bir çekirdek görüntüsünden sıkıştırılmamış bir Linux çekirdek görüntüsünü (VMLINUX) çıkarabilir. Buna ek olarak, meşgul kutusu araçları, ödün verilen cihazlarda diğer kötü amaçlı yazılımların indirilmesini ve yürütülmesini sağlar.
Yılın başında Ivanti, boşluk ve bilinen saldırıları uyardı. Güncellenmiş yazılım temel hataları düzeltir. Google'ın iştiraki Mandiant, “Yumurtlama” ailesinin varyantları için zaten ilk kötü amaçlı yazılım analizleri sağlamıştı. Ancak, şimdi izlenen kötü amaçlı yazılım yeni ve daha da geliştirilmiştir.
(DMK)