bencede
New member
Bir VPN erişim yazılımı olan Ivantis Connect Secure (ICS) 'de bir güvenlik açığı Ocak ayında biliniyordu ve doğrudan malign aktörler tarafından saldırıya uğradı. Amerika Birleşik Devletleri Güvenlik Otoritesi, güvenliği ihlal edilmiş cihazlara başarılı saldırılar gerçekleştirdikten sonra tehlikeye atılan cihazlarda kötü amaçlı yazılım buldu.
CISA, bir alarm duyurusunda kötü amaçlı yazılımdaki bulguları tartışıyor. Son zamanlarda saldırıları inceledikten sonra yetkililer, “yeniden güç” olarak adlandırılan enfekte yetkililer hakkında kötü amaçlı yazılım buldular. Japonca sertifikanın Şubat ayında ICS-Lücke CVE-2025-0282'nin kötüye kullanılmasından sonra suçlular tarafından kurulan Schadsoftware ailesi “Spawn-Chimera” nın becerilerine sahipti.
“Resurge”: Daha fazla gelişmiş parazit
Sınav sırasında BT araştırmacıları, kötü amaçlı yazılımın yeniden başlatıldığı işlevleri karşıladı. Ancak davranışı değiştiren diğer komutları biliyor. Böylece “Resurge” bir webshell ayarlayabilir, bütünlük testlerini manipüle edebilir ve dosyaları düzenleyebilir. Webshell, erişim verilerini, muhasebe, geri yüklenen şifreler ve hakların uzatılması için casusluk yapmak için kullanılabilir. Buna ek olarak, Web Shell, Ivantis Ics'in başlangıç ve CoreBoot görüntüsüne entegre edilebilir.
CISA başka notlar verir. Daha ayrıntılı analiz hala enfeksiyonlar (uzlaşma göstergeleri, IOC) ve Yara tanıma kuralları hakkında bilgi sağlar. İlgilenen taraflar ayrıca analistlerin kötü amaçlı yazılım dosyalarının derinlemesine işlevsel analizlerini bulurlar.
Üç dosya, örneğin komut ve kontrol sunucusu (C2) için Shell Secure (SSH) bir tünel kullanma işlevi ile işlevsel “Spawnchimera” olan ana “Resurge” dosyasıdır. Bu, Ivanti kayıtlarını manipüle eden bir “Spawnsloth” çeşidinin yanı sıra, bir kabuk açık kaynak komut dosyası ve açık kaynaklı meşgul kutusu araç kutusundan bir uygulama koleksiyonu içeren bir ikili dosyayı içerir. Araçlar, sıkıştırılmamış Linux çekirdeğinin (VMLINUX) bir görüntüsünü tehlikeye atılan çekirdeğin görüntüsünden çıkarabilir. Ayrıca, meşgul kutusu araçları, tehlikeye atılan cihazlarda diğer kötü amaçlı yazılımların indirilmesine ve yürütülmesine izin verir.
Yılın başında Ivanti, boşluk ve bilinen saldırıları uyardı. Güncellenmiş yazılım aşağıdaki hataları düzeltir. Google Mantiant'ın yan kuruluşu, “Yumurtlama” ailesinin varyantları için zaten ilk kötü amaçlı yazılım analizleri sağlamıştı. Ancak, şimdi izlenen kötü amaçlı yazılım yeni ve daha da geliştirilmiştir.
(DMK)
CISA, bir alarm duyurusunda kötü amaçlı yazılımdaki bulguları tartışıyor. Son zamanlarda saldırıları inceledikten sonra yetkililer, “yeniden güç” olarak adlandırılan enfekte yetkililer hakkında kötü amaçlı yazılım buldular. Japonca sertifikanın Şubat ayında ICS-Lücke CVE-2025-0282'nin kötüye kullanılmasından sonra suçlular tarafından kurulan Schadsoftware ailesi “Spawn-Chimera” nın becerilerine sahipti.
“Resurge”: Daha fazla gelişmiş parazit
Sınav sırasında BT araştırmacıları, kötü amaçlı yazılımın yeniden başlatıldığı işlevleri karşıladı. Ancak davranışı değiştiren diğer komutları biliyor. Böylece “Resurge” bir webshell ayarlayabilir, bütünlük testlerini manipüle edebilir ve dosyaları düzenleyebilir. Webshell, erişim verilerini, muhasebe, geri yüklenen şifreler ve hakların uzatılması için casusluk yapmak için kullanılabilir. Buna ek olarak, Web Shell, Ivantis Ics'in başlangıç ve CoreBoot görüntüsüne entegre edilebilir.
CISA başka notlar verir. Daha ayrıntılı analiz hala enfeksiyonlar (uzlaşma göstergeleri, IOC) ve Yara tanıma kuralları hakkında bilgi sağlar. İlgilenen taraflar ayrıca analistlerin kötü amaçlı yazılım dosyalarının derinlemesine işlevsel analizlerini bulurlar.
Üç dosya, örneğin komut ve kontrol sunucusu (C2) için Shell Secure (SSH) bir tünel kullanma işlevi ile işlevsel “Spawnchimera” olan ana “Resurge” dosyasıdır. Bu, Ivanti kayıtlarını manipüle eden bir “Spawnsloth” çeşidinin yanı sıra, bir kabuk açık kaynak komut dosyası ve açık kaynaklı meşgul kutusu araç kutusundan bir uygulama koleksiyonu içeren bir ikili dosyayı içerir. Araçlar, sıkıştırılmamış Linux çekirdeğinin (VMLINUX) bir görüntüsünü tehlikeye atılan çekirdeğin görüntüsünden çıkarabilir. Ayrıca, meşgul kutusu araçları, tehlikeye atılan cihazlarda diğer kötü amaçlı yazılımların indirilmesine ve yürütülmesine izin verir.
Yılın başında Ivanti, boşluk ve bilinen saldırıları uyardı. Güncellenmiş yazılım aşağıdaki hataları düzeltir. Google Mantiant'ın yan kuruluşu, “Yumurtlama” ailesinin varyantları için zaten ilk kötü amaçlı yazılım analizleri sağlamıştı. Ancak, şimdi izlenen kötü amaçlı yazılım yeni ve daha da geliştirilmiştir.
(DMK)