كشف تقرير جديد عن برمجية خبيثة متطورة تُعرف باسم RESURGE، تستغل ثغرة يوم الصفر (zero-day) حرجة في أجهزة Ivanti Connect Secure، مما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) لإصدار تحذير عاجل. تم تصميم هذه البرمجية للبقاء في النظام حتى بعد إعادة التشغيل، وسرقة بيانات الاعتماد، والحفاظ على موطئ قدم طويل الأمد داخل الأنظمة المستهدفة.
يعتبر المتجه الهجومي الرئيسي هو الثغرة CVE-2025-0282، وهي ثغرة في تجاوز سعة المخزن المؤقت (stack-based buffer overflow)، تؤثر على أجهزة Ivanti Connect Secure و Policy Secure و ZTA Gateways. هذه الثغرة تسمح للمهاجم بإرسال بيانات تفوق قدرة الاستيعاب للمخزن المؤقت، مما يؤدي إلى تلف الذاكرة المجاورة ويتيح للمهاجم تشغيل أكواد خاصة به على الجهاز المستهدف.
تمت إضافة CVE-2025-0282 رسمياً إلى كتالوج الثغرات المعروفة التي تم استغلالها بواسطة CISA في 8 يناير 2025، وذلك بعد ملاحظة عمليات استغلال نشطة بدأت في ديسمبر 2024. تُستخدم أجهزة Ivanti Connect Secure ومشتقاتها بشكل واسع كبوابات وصول آمن عن بعد للشركات والمؤسسات الحكومية.
تطور برمجية RESURGE الخبيثة واستغلالها
حددت وكالة CISA برمجية RESURGE بعد فحص ثلاثة ملفات تم استردادها من جهاز Ivanti Connect Secure تابع لمنظمة بنية تحتية حرجة، حيث كان المهاجمون قد استغلوا بالفعل الثغرة CVE-2025-0282 لإنشاء موطئ قدم لهم.
إلى جانب RESURGE، وجد الباحثون نسخة من SPAWNSLOTH، وهي أداة للتلاعب بالسجلات تهدف إلى محو أدلة الاختراق من سجلات أجهزة Ivanti. كما عثروا على ملف تنفيذي مخصص باسم “dsmain”، يجمع أدوات BusyBox لفك تشفير وإعادة تجميع صور coreboot.
تشكل هذه المكونات الثلاثة معاً مجموعة أدوات هجوم متكاملة؛ حيث يؤمن أحدها الاختراق، ويقوم الآخر بتنظيف مسار الهجوم، بينما يعيد الثالث بناء النواة الأساسية للنظام للحفاظ على الباب مفتوحاً.
تعتمد RESURGE مباشرة على SPAWNCHIMERA، وهي برمجية خبيثة معروفة من عائلة SPAWN، كانت قادرة بالفعل على البقاء بعد إعادة تشغيل النظام. يضيف ملف RESURGE، الذي تم تحديده باسم “libdsupgrade.so”، ثلاث أوامر إضافية توسع من قدراته بشكل كبير مقارنة بسابقته.
وصفت CISA RESURGE بأنها “روت كيت، ودروبير، وباك دور، وبوت كيت، وبروكسي، وتونيلر” مدمجة في ملف واحد. هذا يعني أن ملفاً واحداً يمنح المهاجم كل ما يحتاجه تقريباً للتحكم الكامل في الجهاز المخترق.
إن مدى انتشار هذا التهديد كبير. نظراً لأن Ivanti Connect Secure تعمل كبوابة VPN لآلاف المنظمات، يمكن أن يؤدي اختراق ناجح إلى كشف شبكة مؤسسية كاملة من الداخل.
بمجرد استقرار RESURGE، يمكن للمهاجمين جمع بيانات الاعتماد، وإنشاء حسابات مستخدمين غير مصرح بها، وإعادة تعيين كلمات المرور، وتصعيد الامتيازات الخاصة بهم، كل ذلك دون إطلاق التنبيهات التي قد تشير عادةً إلى حدوث اختراق.
كيف تبقى RESURGE مخفية وتتمسك بالنظام
ما يجعل RESURGE صعبة الإزالة بشكل خاص هو المستوى الذي تتعمق فيه في النظام المخترق. تقوم البرمجية الخبيثة بإدراج نفسها في ملف “ld.so.preload”، مما يجبرها على التحميل عند بدء التشغيل قبل معظم العمليات الأخرى على الجهاز.
هذا الموضع في مرحلة التحميل المبكرة يمنح البرمجية الخبيثة سيطرة مباشرة على النظام منذ لحظة تشغيل الجهاز، مما يجعلها غير مرئية لمعظم أدوات الفحص القياسية.
بالإضافة إلى الثبات على مستوى الإقلاع، تقوم RESURGE أيضاً بإعداد “ويب شيل” (web shell)، وهو برنامج نصي خفيف الوزن يُستخدم كواجهة أوامر عن بعد، وتقوم بنسخه مباشرة إلى قرص الإقلاع النشط لجهاز Ivanti. بعد ذلك، تعدل صورة coreboot، التي تبدأ تشغيل الجهاز، وتدمج التعليمات البرمجية في طبقة عميقة بما يكفي لتجاوز معظم عمليات إعادة تثبيت البرامج.
كشفت تحليلات CISA المحدثة أن RESURGE تستخدم شهادات TLS مزورة ونظام تجزئة بصمات CRC32 للفصل بين حركة المرور العادية وأوامر المهاجم. يتم إعادة توجيه حركة المرور العادية إلى خادم الويب الحقيقي لـ Ivanti، بينما تقوم الاتصالات التي يتحكم فيها المهاجم فقط بتفعيل إجراءات البرمجية الخبيثة، مما يحافظ على صمتها وتخفيها أثناء العمليات العادية.
تحث CISA المؤسسات المتضررة على إجراء إعادة ضبط المصنع كخطوة الأكثر موثوقية لتطهير العدوى. يجب على الأنظمة السحابية والافتراضية استخدام صورة نظيفة خارجية موثوقة. يجب إعادة تعيين جميع بيانات اعتماد الحسابات، سواء كانت مميزة أو غير مميزة، ويجب إعادة تعيين حساب krbtgt المسؤول عن مصادقة Kerberos مرتين، نظراً لتاريخه المكون من كلمتي مرور.
يجب على المؤسسات إلغاء الوصول مؤقتاً للأجهزة المتضررة، ومراجعة سياسات الوصول، ومراقبة الحسابات الإدارية عن كثب بحثاً عن علامات النشاط غير المصرح به. يجب الإبلاغ عن أي سلوك مشبوه إلى مركز عمليات CISA على مدار الساعة طوال أيام الأسبوع على [email protected] أو عبر الهاتف (888) 282-0870.