Главная страница » IOC
0
1 день
IOC

Ivanti Connect Secure позволили злоумышленникам осуществить несанкционированный доступ к критической инфраструктуре

security

Аппаратные и программные уязвимости в продукте Ivanti Connect Secure позволили злоумышленникам осуществить несанкционированный доступ к устройству, установленному на объекте критической инфраструктуры.

Описание

Центр по кибербезопасности и инфраструктуре (CISA)проанализировала три файла, полученные с устройства Ivanti Connect Secure, установленного на объекте критической инфраструктуры, после того как злоумышленники использовали CVE-2025-0282 для получения первоначального доступа. Один из файлов, который CISA называет RESURGE, имеет функциональность, аналогичную SPAWNCHIMERA, поскольку он создает туннель Secure Shell (SSH) для командно-административного управления (C2). RESURGE также содержит ряд команд, которые могут изменять файлы, манипулировать проверками целостности и создавать веб-оболочку, которая копируется на загрузочный диск работающего Ivanti.

Второй файл - это вариант SPAWNSLOTH, который содержался в образце RESURGE. Этот файл подменяет журналы устройств Ivanti.

Третий файл - это пользовательский встроенный двоичный файл, содержащий сценарий оболочки с открытым исходным кодом и подмножество апплетов из открытого инструмента BusyBox. Скрипт оболочки с открытым исходным кодом позволяет извлекать несжатый образ ядра (vmlinux) из скомпрометированного образа ядра. BusyBox позволяет злоумышленникам выполнять различные функции, например загружать и исполнять полезную нагрузку на скомпрометированных устройствах.

Indicators of Compromise

MD5

  • 44d09ca5b989e24ff5276d5b5ee1d394
  • 6e01ef1367ea81994578526b3bd331d6
  • cfb263a731d51ff489168bbca0d3bd2f

SHA1

  • 09eb513f284771461bcdc16ee28d31ce8bbe74e0
  • 5309f9082da0fc24ebf03cb1741fa71335224e5a
  • 87bcbbcb878aeee6ad4463464745770e95c6a937

SHA256

  • 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104
  • 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda
  • b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d

SHA512

  • 3d12fdb707c188eb2e94cbf2dd42a50cfe343128652bab9245a54b887e35bc32c6a88c8faa5001a045df3991b387fcd6a27719ecbf84f6ce893163b040c2e0dd
  • 63ded8e7294ee9a0d4181310d25c348d0d657d35e57740234cb98c9abfd8eb18bb3cd35a28bca3013f3e141b41131b923b39717c7ae864019287c2d85a36ae63
  • ecbda91571b0429be42017dddd2cb687ce696dd601cd02f2502119b8b732376cee2097069ca35ba0089387d58213c6140c2caf8e6c2e05733d21c309b51e2b9b

Technical report

Комментарии: 0
Похожие записи
0
1 день
IOC

Злоумышленник из Китая активно эксплуатирует критическую уязвимость Ivanti Connect Secure (CVE-2025-22457)

security
Компания Ivanti раскрыла критическую уязвимость безопасности, которая затрагивает VPN-устройства Ivanti Connect Secure (ICS) версии 22.7R2.5 и более ранние. Уязвимость, обозначенная как CVE-2025-22457
0
1 месяц
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало