ABD Siber Güvenlik ve Bilgi Güvenliği Ajansı (CISA), Ivanti güvenlik açığı saldırılarında tespit edilen yeni bir kötü amaçlı yazılım varyantını detaylandıran bir danışmanlık yayınladı.
CISA Danışmanlığı, tehdit aktörlerinin ilk erişim için Ivanti güvenlik açığı CVE-2025-0282’yi kullandıktan sonra ajansın kritik bir altyapı ortamının Ivanti Connect Secure cihazından üç dosya kurtardığını söyledi.
Dosyalardan biri, CISA’nın yeniden çağırdığı yeni bir kötü amaçlı yazılım varyantı içeriyordu, bu da komuta ve kontrol faaliyetleri için güvenli bir kabuk (SSH) tüneli oluşturması nedeniyle Spawnchimera’ya benzer. Ancak yeni varyant önemli yeni yetenekler ekliyor.
Resurge Malware yeni özellikler ekliyor
Resurge kötü amaçlı yazılım, dosyaları değiştirme, bütünlük kontrollerini manipüle etme ve çalışan Ivanti önyükleme diskine kopyalanan bir web kabuğu oluşturma yeteneği ile Spawnchimera’nın ötesine geçer.
CISA, ‘libdsupgrade.so’, ‘libdsupgrade.so’, kötü amaçlı bir 32 bit Linux paylaşılan nesne dosyasıdır. Dosya bir rootkit, damlalık, arka kapı, bootkit, proxy ve tunneler içerir.
İkinci bir dosya (‘liblogblock.so’), yeniden şekillendirme örneğinde bulunan Spawnsloth günlük kurcalama yardımcı programının bir çeşididir.
CISA, üçüncü dosya (‘DSSMain’), açık kaynaklı bir kabuk komut dosyası ve açık kaynaklı araç meşgul kutusundan uygulamalar içeren özel gömülü bir ikilidir. Kabuk komut dosyası, uzatılmamış bir çekirdek görüntüsünden sıkıştırılmamış bir çekirdek görüntüsü (VMLINUX) çıkarabilirken, meşgul kutusu tehdit aktörlerinin “uzatılmış cihazlarda yükleri indirme ve yürütme gibi çeşitli işlevleri gerçekleştirmesine” izin veriyor.
CISA, SHA-256 karmalarına dayalı dosya karmalar ve Yara algılama kurallarını içeriyordu. Rezansiyon için SHA-256 karma 52BBC44EB451CB5E16BF98BC5B1823D2F47A18D71F14543B460395A1C1B1AEDA’dır.
Spawnsloth karma 3526AF9189533470BC0E90D54BAFB0DB7BDA784BE82A372CE112E361F7C7B104 ve DSSMAIN HASH’si B1221000F43734436EC8022CAAA34B133F4581CA3AE8ECCD8D57EA62573F301D.
CISA Önerileri
CISA, danışmanlıkta aşağıdakiler gibi bir dizi kontrol önerdi:
- Mümkünse dosya ve yazıcı paylaşım hizmetlerini devre dışı bırakma veya en azından güçlü şifreler veya Active Directory kimlik doğrulaması kullanma.
- Kullanıcıların istenmeyen yazılım uygulamalarını yükleme ve çalıştırma yeteneğini kısıtlamak.
- E-posta eklerini açarken dikkatli olunması “ek bekleniyor ve gönderen biliniyor gibi görünse bile”.
- İş istasyonlarında kişisel bir güvenlik duvarının etkinleştirilmesi ve istenmeyen bağlantı isteklerini reddetmek için yapılandırılması.
- İş istasyonlarında ve sunucularda gereksiz hizmetlerin devre dışı bırakılması.
- Şüpheli e-posta eklerini taramak ve kaldırmak ve ek uzantısının dosya üstbilgisiyle eşleşmesini sağlamak.
- En son tehditlerin farkındalığının korunması ve uygun erişim kontrol listelerinin (ACL’ler) uygulanması.