RESURGE – Biến thể Malware Tinh Vi và Lỗ Hổng CVE-2025-0282

30/03/2025
2 mins read


Thông tin từ bài viết cung cấp chi tiết về biến thể malware mới được xác định gọi là RESURGE và sự liên kết của nó với một lỗ hổng bảo mật trong các thiết bị Ivanti Connect Secure. Dưới đây là các điểm chính:

  1. Phân tích Malware:
    • RESURGE là một biến thể malware đã được triển khai như một phần của hoạt động khai thác nhắm vào lỗ hổng bảo mật đã được sửa chữa trong các thiết bị Ivanti Connect Secure (ICS).
    • Nó có khả năng tương tự như biến thể malware SPAWNCHIMERA, bao gồm khả năng tồn tại sau khi khởi động lại, và có các lệnh đặc trưng thay đổi hành vi của nó.
  2. Các khả năng:
    • RESURGE bao gồm các chức năng như rootkit, dropper, backdoor, bootkit, proxy và tunneler.
    • Nó có thể tạo ra một web shell, thao tác kiểm tra tính nguyên vẹn, và chỉnh sửa các tệp. Nó cũng cho phép sử dụng web shell để thu thập thông tin xác thực, tạo tài khoản, đặt lại mật khẩu, và tăng cường đặc quyền.
  3. CVE-2025-0282:
    • Lỗ hổng bảo mật bị RESURGE khai thác là CVE-2025-0282, một lỗ hổng tràn bộ đệm dựa trên stack ảnh hưởng đến Ivanti Connect Secure, Policy Secure, và ZTA Gateways.
    • Lỗ hổng này cho phép thực thi mã từ xa và đã bị vũ khí hóa để triển khai hệ sinh thái malware SPAWN, bao gồm SPAWNANT, SPAWNMOLE, và SPAWNSNAIL.
  4. Sự liên kết với các Malware khác:
    • RESURGE có liên quan đến việc khai thác CVE-2025-0282 bởi một nhóm đe dọa liên kết với Trung Quốc được theo dõi là UNC5337, một phần của hệ sinh thái SPAWN.
    • Một nhóm đe dọa liên kết với Trung Quốc khác, Silk Typhoon (trước đây là Hafnium), cũng đã khai thác CVE-2025-0282 như một lỗ hổng zero-day.
  5. Biện pháp giảm thiểu và khuyến nghị:
    • Để giảm thiểu mối đe dọa, các tổ chức được khuyên nên vá các phiên bản Ivanti của họ lên phiên bản mới nhất.
    • Các bước giảm thiểu bổ sung bao gồm đặt lại thông tin xác thực của các tài khoản có đặc quyền và không có đặc quyền, thay đổi mật khẩu cho tất cả người dùng miền và tài khoản cục bộ, xem xét chính sách truy cập để tạm thời thu hồi đặc quyền cho các thiết bị bị ảnh hưởng, và giám sát các tài khoản để phát hiện dấu hiệu hoạt động bất thường.
  6. Báo cáo phân tích của CISA:
    • CISA đã phát hành một Báo cáo Phân tích Malware (MAR) chi tiết về malware RESURGE và sự liên kết của nó với CVE-2025-0282. Báo cáo bao gồm phân tích chi tiết về chức năng của malware và khuyến nghị giảm thiểu.

Tóm lại, RESURGE là một biến thể malware tinh vi khai thác một lỗ hổng nghiêm trọng trong các thiết bị Ivanti Connect Secure, cho thấy các khả năng tiên tiến và sự liên kết mạnh mẽ với hệ sinh thái SPAWN. Việc khai thác CVE-2025-0282 nhấn mạnh sự cần thiết phải vá ngay lập tức và các chiến lược giảm thiểu vững chắc để ngăn chặn các cuộc tấn công tiếp theo.