La US Cybersecurity and Infrastructure Safety Company (CISA) ha fatto luce su un nuovo malware chiamato Rimborsare Ciò è stato distribuito nell’ambito dell’attività di sfruttamento destinata a un difetto di sicurezza ora abbagliato negli apparecchi di Ivanti Join Safe (ICS).
“La resurge contiene capacità della variante di malware Spawnchimera, inclusi i riavvii sopravvissuti; tuttavia, la rinascita contiene comandi distintivi che alterano il suo comportamento”, l’agenzia disse. “Il file contiene funzionalità di rootkit, contagocce, backdoor, bootkit, proxy e tunneler.”
La vulnerabilità della sicurezza associata alla distribuzione del malware è CVE-2025-0282una vulnerabilità di overflow del buffer basata su stack che colpisce i gateway IVANTI Join Safe, Coverage Safe e ZTA che potrebbero comportare l’esecuzione del codice remoto.
Ha un impatto sulle seguenti versioni –
- Ivanti Join Safe prima della versione 22.7r2.5
- Politica ivanti sicura prima della versione 22.7r1.2 e
- Neuroni ivanti per gateway ZTA prima della versione 22.7r2.3
Secondo Mandiant di proprietà di Google, CVE-2025-0282 è stato armato per fornire quello che viene chiamato l’ecosistema di spawn di malware, che comprende diversi componenti come Spawnant, Spawnmole e Spawnsnail. L’uso di Spawn è stato attribuito a un gruppo di spionaggio Cina-Diemus soprannominato UNC5337.
Il mese scorso, jpcert/cc rivelato che ha osservato il difetto di sicurezza utilizzato per consegnare una versione aggiornata di spawn nota come Spawnchimera, che combina tutti i suddetti moduli disparati in un malware monolitico, incorporando anche modifiche per facilitare la comunicazione tra course of tramite macchie di dominio Unix.
In particolare, la variante rivista ha ospitato una funzione per patch CVE-2025-0282 in modo da impedire advert altri attori dannosi di sfruttarlo per le loro campagne.
Resurge (“libsupgrade.so”), per CISA, è un miglioramento rispetto a Spawnchimera con supporto per tre nuovi comandi –
- Inserisci se stesso in “LD.so.preload”, imposta una shell Net, manipola i controlli di integrità e modifica i file
- Abilita l’uso di shell Net per la raccolta delle credenziali, la creazione dell’account, i ripristini della password e l’escalation dei privilegi
- Copia la shell Net sul disco di avvio in esecuzione ivanti e manipolare l’immagine coreboot in esecuzione
CISA ha affermato di aver scoperto anche altri due artefatti da un dispositivo ICS di un’entità di infrastruttura critica non specificata: una variante di Spawnsloth (“Liblogblock.so”) contenuto all’interno di una rinascita e un binario elfo Linux a 64 bit su misura (“dsmain”).
“La (variante di spawnsloth) si muove con i registri dei dispositivi Ivanti”, esso disse. “Il terzo file è un binario incorporato personalizzato che contiene uno script di shell open supply e un sottoinsieme di applet dallo strumento open supply.
Vale la pena notare che è stato anche CVE-2025-0282 sfruttato Come zero-day di un altro gruppo di minacce legate alla Cina rintracciato come Storm di seta (precedentemente Hafnium), Microsoft ha rivelato all’inizio di questo mese.
Le ultime scoperte indicano che gli attori delle minacce dietro il malware stanno attivamente perfezionando e rielaborando il loro marchio, rendendo indispensabile che le organizzazioni si mettano a correggere le loro istanze di Ivanti all’ultima versione.
Come ulteriore mitigazione, si consiglia di ripristinare le credenziali di account privilegiati e non privilegiati, ruotare le password per tutti gli utenti del dominio e tutti gli account locali, rivedere le politiche di accesso per revocare temporaneamente i privilegi per i dispositivi interessati, reimpostare le credenziali di account pertinenti o le chiavi di accesso e monitorare gli account per i segni di attività anomalo.
