В январе 2025 года уязвимость CVE-2025-0282 была обнаружена в Ivanti Connect Secure, и в марте того же года обнаружено обновленное вредоносное программное обеспечение (ПО) семейства SPAWN (далее - SPAWNCHIMERA).
Описание
Семейство вредоносных программ обновилось после раскрытия уязвимости, и теперь имеет возможность внедряться в различные процессы и запускаться в каждом из них. SPAWNCHIMERA внедряется с помощью межпроцессового взаимодействия через сокеты домена UNIX, что усложняет обнаружение вредоносного ПО. Также в SPAWNCHIMERA появилась новая функция для устранения уязвимости CVE-2025-0282, которая ограничивает размер копии до 256. Помимо этого, внесены изменения в функцию декодирования и удалены функции отладочных сообщений, чтобы усложнить анализ и предотвратить поиск вредоносного ПО.
В предыдущей версии семейства SPAWN, вредоносный трафик отправлялся на порт 8300 на 127.0.0.1, а в новой версии этот метод межпроцессового взаимодействия был изменен на использование доменного сокета UNIX. Это позволяет вредоносному ПО обмениваться трафиком между веб-процессом и процессом dsmdm. Такая техника усложняет обнаружение вредоносного ПО.
Для устранения уязвимости CVE-2025-0282 в SPAWNCHIMERA появилась новая функция, которая ограничивает размер копии до 256. Благодаря этой функции, попытки проникновения в систему или сканирования могут оказаться неуспешными. Еще одним изменением было добавление новой функции декодирования, которая определяет, является ли трафик вредоносным, по результату вычисления.
В SPAWNCHIMERA также удалены функции отладочных сообщений, чтобы сделать анализ ПО сложнее и предотвратить обнаружение. Такие изменения делают SPAWNCHIMERA более сложным для идентификации и обнаружения, а также затрудняют анализ вредоносного ПО.
Индикаторы компрометации
SHA256
- 94b1087af3120ae22cea734d9eea88ede4ad5abe4bdeab2cc890e893c09be955
- 9bdf41a178e09f65bf1981c86324cd40cb27054bf34228efdcfee880f8014baf
