الصفحات
بحث
تحذير CISA: برمجية RESURGE الخبيثة كامنة بأجهزة Ivanti
الأمن السيبراني #أمن_سيبراني #RESURGE

تحذير CISA: برمجية RESURGE الخبيثة كامنة بأجهزة Ivanti

تاريخ النشر: آخر تحديث: 3 مشاهدة 0 تعليق 4 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

أصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) تحذيراً محدثاً بشأن برمجية RESURGE الخبيثة، مشيرة إلى قدرتها على البقاء كامنة وغير مكتشفة على أجهزة Ivanti Connect Secure. تُعد هذه البرمجية المتطورة تهديداً خطيراً، حيث تستغل ثغرة أمنية حرجة وتستخدم تقنيات تخفي معقدة لتجنب الكشف والتواصل سراً مع المهاجمين.

تفاصيل تحذير CISA الجديد حول RESURGE

يركز التحديث الجديد من CISA على قدرة برمجية RESURGE على البقاء لفترات طويلة على الأجهزة المستهدفة دون أن يتم اكتشافها. هذه البرمجية، التي تم استخدامها في هجمات يوم الصفر (Zero-Day) ضد ثغرة CVE-2025-0282، تتميز بـ "تقنيات متطورة للتخفي والمصادقة على مستوى الشبكة" لتمكين التواصل السري مع المهاجم.

كانت CISA قد وثقت هذه البرمجية لأول مرة في مارس من العام الماضي، موضحة أنها قادرة على الصمود أمام إعادة التشغيل، وإنشاء أغلفة ويب (webshells) لسرقة بيانات الاعتماد، وإنشاء حسابات جديدة، وإعادة تعيين كلمات المرور، وتصعيد الامتيازات. وفقاً لباحثي شركة الاستجابة للحوادث Mandiant، تم استغلال ثغرة CVE-2025-0282 الحرجة كـ "يوم صفر" منذ منتصف ديسمبر 2024 من قبل جهة تهديد مرتبطة بالصين، تُعرف داخلياً باسم UNC5221.

تقنيات التخفي المتقدمة لبرمجية RESURGE

يقدم التقرير المحدث من CISA معلومات تقنية إضافية حول RESURGE، وهو ملف كائن مشترك (Shared Object file) لنظام لينكس بحجم 32 بت، يُعرف باسم libdsupgrade.so، تم استخراجه من جهاز مخترق. تُوصف البرمجية بأنها زرع خبيث سلبي للتحكم والسيطرة (C2) مع قدرات متعددة تشمل الروت كيت (rootkit)، والبووت كيت (bootkit)، والباب الخلفي (backdoor)، والمُسقِط (dropper)، والوكيل (proxying)، والأنفاق (tunneling).

بدلاً من إرسال إشارات دورية إلى خادم التحكم والسيطرة، تنتظر RESURGE بشكل غير محدود اتصال TLS وارد معين، مما يساعدها على التهرب من مراقبة الشبكة. عندما يتم تحميلها ضمن عملية "الويب"، فإنها تتصل بوظيفة accept() لفحص حزم TLS الواردة قبل أن تصل إلى خادم الويب، بحثاً عن محاولات اتصال محددة من مهاجم بعيد يتم تحديدها باستخدام مخطط تجزئة بصمة TLS من نوع CRC32.

إذا لم تتطابق البصمة، يتم توجيه حركة المرور إلى خادم Ivanti الشرعي. توضح CISA أيضاً آلية مصادقة RESURGE، حيث يستخدم المهاجم شهادة Ivanti مزيفة لضمان التفاعل مع البرمجية وليس مع خادم الويب الشرعي لـ Ivanti. تؤكد الوكالة أن الغرض من هذه الشهادة هو للمصادقة والتحقق فقط، ولا تُستخدم لتشفير الاتصالات. علاوة على ذلك، تساعد الشهادة المزيفة المهاجم على التهرب من الكشف عن طريق انتحال شخصية الخادم الشرعي.

نظراً لأن الشهادة المزورة تُرسل غير مشفرة عبر الإنترنت، تشير CISA إلى أن مسؤولي الأمن يمكنهم استخدامها كتوقيع شبكة للكشف عن أي اختراق نشط. بعد التحقق من البصمة والمصادقة مع البرمجية الخبيثة، يقوم المهاجم بإنشاء وصول آمن عن بُعد إلى البرمجية باستخدام جلسة Mutual TLS مشفرة ببروتوكول Elliptic Curve.

يشير التحليل الثابت إلى أن برمجية RESURGE ستطلب مفتاح Elliptic Curve من المهاجمين لاستخدامه في التشفير، وستتحقق أيضاً منه باستخدام مفتاح مرجع مصدق (CA) من نوع Elliptic Curve مبرمج مسبقاً.

من خلال محاكاة حركة مرور TLS/SSH المشروعة، تحقق البرمجية الخبيثة التخفي والاستمرارية، وفقاً لوكالة الأمن السيبراني الأمريكية.

ملفات خبيثة إضافية مرتبطة بـ RESURGE

تم تحليل ملف آخر وهو متغير من برمجية SpawnSloth الخبيثة يستخدم اسم liblogblock.so ويتم تضمينه بواسطة برمجية RESURGE. الغرض الرئيسي منه هو التلاعب بالسجلات لإخفاء النشاط الخبيث على الأجهزة المخترقة.

أما الملف الثالث الذي حللته CISA هو dsmain، وهو نص برمجي لاستخراج النواة (kernel extraction script) يتضمن نص extract_vmlinux.sh مفتوح المصدر ومجموعة أدوات BusyBox Unix/Linux.

liblogblock.so - 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104
libdsupgrade.so - 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda
dsmain - b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d

يسمح هذا الملف لبرمجية RESURGE بفك تشفير وتعديل وإعادة تشفير صور البرامج الثابتة لـ coreboot والتلاعب بمحتويات نظام الملفات لتحقيق الاستمرارية على مستوى التمهيد.

التهديد المستمر وتوصيات CISA

توضح التحليلات المحدثة لـ CISA أن برمجية RESURGE يمكن أن تظل كامنة على الأنظمة حتى يحاول مهاجم عن بُعد الاتصال بالجهاز المخترق. وبسبب هذه الخاصية، فإن الزرع الخبيث "قد يكون خاملاً وغير مكتشف على أجهزة Ivanti Connect Secure ويظل يشكل تهديداً نشطاً".

تقترح CISA على مسؤولي الأنظمة استخدام مؤشرات الاختراق (IoCs) المحدثة لاكتشاف عدوى RESURGE الكامنة وإزالتها من أجهزة Ivanti.

يُبرز تحذير CISA أهمية اليقظة المستمرة في مواجهة التهديدات السيبرانية المتطورة. مع قدرة RESURGE على التخفي والبقاء كامنة، يصبح من الضروري للمؤسسات تطبيق التحديثات الأمنية ومراجعة أنظمتها بانتظام باستخدام أحدث مؤشرات الاختراق لحماية أصولها الرقمية من هذا النوع من الهجمات المعقدة. لا تتردد في مشاركة رأيك في قسم التعليقات أدناه.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##RESURGE ##Ivanti ##CISA

الأسئلة الشائعة

RESURGE هي برمجية خبيثة متطورة تستهدف أجهزة Ivanti Connect Secure، وتتميز بقدرتها على البقاء كامنة دون اكتشاف واستغلال الثغرات الأمنية لتصعيد الامتيازات والتواصل سراً مع المهاجمين.

تستخدم RESURGE تقنيات متقدمة مثل انتظار اتصال TLS وارد محدد، واستخدام بصمة TLS من نوع CRC32، وشهادة Ivanti مزيفة للمصادقة والتخفي، مما يساعدها على التهرب من مراقبة الشبكة.

تستغل برمجية RESURGE ثغرة CVE-2025-0282 الحرجة في أجهزة Ivanti Connect Secure، وقد تم استغلالها كـ 'يوم صفر' من قبل جهات تهديد مرتبطة بالصين.

تنصح CISA مسؤولي الأنظمة باستخدام مؤشرات الاختراق (IoCs) المحدثة للكشف عن عدوى RESURGE الكامنة وإزالتها من أجهزة Ivanti، بالإضافة إلى مراقبة أي شهادات Ivanti مزورة كدليل على الاختراق.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!