CISA, uzlaşma, algılama imzaları ve Ivanti Connect Secure VPN cihazlarını ihlal eden saldırganlar tarafından kullanılan yeni tanımlanmış bir kötü amaçlı yazılım varyantının CVE-2025-0282 Zero-Day’den yararlanarak yeni tanımlanmış bir kötü amaçlı yazılım varyantını yayınlamak için güncelleştirdi.
Güncellenmiş azaltma talimatları, tüm cihazların bir fabrika sıfırlamasının – tehdit avcılığının bile uzlaşma kanıtı göstermediği – ve cihazın harici bir temiz görüntüsünü kullanarak bulut ve sanal sistemlerin fabrika sıfırlamasının önemini vurgulamaktadır.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, “CISA, bu hafifletmeyi, daha önce sağlanan hafifletmelerin etkinliğini zayıflatabilecek, Resurge adlı yeni bir kötü amaçlı yazılım varyantının tanımlanmasına dayanarak güncelledi” dedi.
CVE-2025-0282’yi sıfır gün olarak kullanan saldırganlar
Saldırganların, şirketin bunu ve başka bir (aktif olarak sömürülmemiş) güvenlik açığını yamaladığı ve sınırlı sayıda müşterinin etkilendiğini doğruladığı Ocak 2025’in başlarında Ivanti Connecti Connect Güvenli Cihazları’nı ihlal etmek için sıfır gün güvenlik açığından (CVE-2025-0282) yararlandıklarına dair haberler.
Mandiant researchers followed up with more details: the attacks had been undertaken by suspected China-nexus espionage actor(s), which used known and previously unobserved malware to infect and compromise the targeted devices, as well as to assure its persistence on them by modifying components, blocking legitimate system upgrades and symulating fake ones, rewriting executables, circumventing the appliance’s internal Integrity Checker Tool (ICT), etc.
Microsoft’un tehdit analistleri daha sonra bazı saldırıları Çin Casusluk Grubu İpek Typhoon’a bağladı.
Ivanti Connect Güvenli Cihazlar için Özel Yazılım Varyantı
“Rezeefge, [previously analyzed] Hayatta kalan yeniden başlatmalar dahil olmak üzere Spawnchimera kötü amaçlı yazılım varyantı; Ancak, Resurge davranışını değiştiren belirgin komutlar içeriyor ”dedi.
“Bu komutlar bir web kabuğu oluşturur, bütünlük denetimlerini manipüle edin ve dosyaları değiştirir; kimlik bilgisi hasadı, hesap oluşturma, şifre sıfırlaması ve artan izinler için web kabuklarının kullanılmasını sağlar ve web kabuğunu Ivanti çalıştırma önyükleme diskine kopyalayın ve çalışan CoreBoot resmini manipüle edin.”
Resurge numuneleri ayrıca yeni bir Spawnsloth varyantı (bir günlük kurcalama yardımcı programı) ve açık kaynaklı bir kabuk komut dosyası ve bazı meşgul kutusu uygulamaları içeren özel bir gömülü ikili de içeriyordu.
Ajans, “Açık kaynaklı kabuk komut dosyası, uzatılmamış bir çekirdek görüntüsünden (VMLINUX) uzlaşmış bir çekirdek görüntüsünden çıkarma yeteneğine izin veriyor. Meşgul kutusu, tehdit aktörlerinin güvenliği ihlal edilmiş cihazlarda indirme ve yürütme gibi çeşitli işlevleri gerçekleştirmelerini sağlıyor” dedi.