Yakın zamanda yapılan bir gelişmede, Spawnchimera kötü amaçlı yazılım ailesi, JPCERT/CC tarafından onaylandığı gibi, Ivanti Connect Secure’deki tampon taşma güvenlik açığı CVE-2025-0282’den yararlanarak tanımlanmıştır.
Ocak 2025’te açıklanan bu güvenlik açığı, kamu açıklamasından önce Aralık 2024’ün sonlarından beri aktif olarak sömürülmüştü.
Spawn ailesinin gelişmiş bir varyantı olan kötü amaçlı yazılım, işlevselliğini artırmak ve algılamadan kaçınmak için birden fazla gelişmiş özelliği entegre eder.
Sömürü ve dinamik güvenlik açığı düzeltme
Spawnchimera, CVE-2025-0282 güvenlik açığını dinamik olarak yamalamak için benzersiz bir özellik sunar.
Bu tampon taşma sorunu, strncpy işlev.
Kötü amaçlı yazılım, işlevi bağlayarak ve kopya boyutunu 256 baytla kısıtlayarak bu kusuru hafifletir.
Bu düzeltme yalnızca işlem adı “Web” olduğu gibi belirli koşullar karşılandığında tetiklenir.
Özellikle, bu mekanizma sadece diğer saldırganların sömürüsünü önlemekle kalmaz, aynı zamanda bu güvenlik açığını taramak üzere tasarlanmış konsept kanıtı (POC) araçlarını kullanarak penetrasyon girişimlerini de engeller.
Süreçler arası iletişim değişiklikleri yoluyla gelişmiş gizli
Kötü amaçlı yazılım, süreçler arası iletişim yöntemini yerel bağlantı noktası 8300 kullanmadan UNIX etki alanı soketlerine kaydırmıştır.
Kötü amaçlı trafik artık süreçler arasında gizli bir yol (/home/runtime/tmp/.logsrv), standart ağ izleme araçlarını kullanmayı tespit etmeyi önemli ölçüde zorlaştırıyor netstat.
JPCERT raporuna göre, bu değişiklik Spawnchimera’nın sağlam işlevselliği sürdürürken tespitten kaçınmaya odaklanmasını yansıtıyor.
Spawnchimera, kötü amaçlı yazılım örneğinin kendisi içindeki SSH özel anahtarını kodlayarak faaliyetlerini de gizler.
Anahtar, çalışma zamanı boyunca XOR tabanlı bir işlev kullanılarak dinamik olarak kod çözülür ve minimum adli izler bırakır.
Ek olarak, kötü amaçlı yazılım, kötü amaçlı trafiği belirlemek için sabit kodlu trafik tanımlayıcılarını hesaplamaya dayalı bir kod çözme fonksiyonu ile değiştirmiştir.
Daha önceki sürümlerde bulunan hata ayıklama mesajları da kaldırıldı, bu da analiz çabalarını karmaşıklaştırdı ve ters mühendislik sırasında algılama fırsatlarını azalttı.
Bu gelişmiş özelliklerin entegrasyonu, Spawnchimera’nın evrimini daha sofistike bir tehdide göstermektedir.
Sömürü yeteneklerini güvenlik açığı düzeltme gibi hafifletme mekanizmalarıyla birleştirerek, kötü amaçlı yazılım sadece kalıcılığını sağlamakla kalmaz, aynı zamanda rekabet eden tehdit aktörlerinin çabalarını da bozar.
Bu değişiklikler, kötü amaçlı yazılım yazarlarının tabanlarını tehlikeye atılan sistemlerde güvence altına almak için savunma tekniklerini içerdiği artan bir eğilimi vurgulamaktadır.
Ivanti Connect Secure kullanan kuruluşların hemen satıcı tarafından sağlanan yamalar uygulaması ve uzlaşma belirtileri izlemeleri istenir.
Spawnchimera gibi tehditleri etkili bir şekilde tanımlamak için statik imzalardan ziyade davranışsal analize odaklanan gelişmiş tespit yöntemleri gerekebilir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here