СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.02.2025
#ИБ#Инфра

Критическая уязвимость CVE-2025-0282 и SPAWNCHIMERA: угроза кибербезопасности

Критическая уязвимость CVE-2025-0282 и SPAWNCHIMERA: угроза кибербезопасности

Источник: blogs.jpcert.or.jp

В январе 2025 года компания Ivanti выпустила предупреждение о критической уязвимости в своем программном обеспечении connect secure, идентифицированной как CVE-2025-0282. Эта уязвимость, являющаяся проблемой переполнения буфера, была использована в различных атаках, начиная с конца декабря 2024 года, до её публичного раскрытия.

Использование уязвимости

JPCERT/CC подтвердил многочисленные инциденты, связанные с использованием этой уязвимости. Злоумышленники развернули семейство вредоносных программ SPAWN, в частности, обновленный вариант, получивший название SPAWNCHIMERA. В новой версии были внесены изменения, направленные на обфускацию и уклонение от обнаружения.

Технологические изменения в SPAWNCHIMERA

Одним из существенных изменений в SPAWNCHIMERA стала методология взаимодействия между процессами. Теперь для передачи вредоносного трафика используются:

  • внутренние сокеты домена UNIX вместо TCP-портов;
  • это позволяет избежать отображения в обычных инструментах сетевого мониторинга, таких как netstat.

Кроме того, в SPAWNCHIMERA реализована функция динамического устранения уязвимости CVE-2025-0282. В ней используется модифицированная функция strncpy, предназначенная для ограничения размера копии до 256 байт, при этом сохраняющая способность распознавать потенциальные попытки эксплуатации.

Улучшенная скрытность

Примечательно, что если первый байт скопированного исходного кода соответствует предопределенному значению, защитный механизм может быть отключен. Это позволяет злоумышленникам тестировать свои методы эксплуатации без запуска защиты, что представляет серьёзную угрозу для безопасности.

Обработка секретных ключей

Другим значительным изменением в SPAWNCHIMERA стала обработка секретных ключей. В отличие от предыдущих версий, где секретные SSH-серверные ключи были жестко закодированы в текстовом формате и экспортировались в виде файлов, новый вариант:

  • кодирует ключи с помощью функции XOR;
  • не экспортирует их в виде отдельных файлов, что снижает вероятность обнаружения.

Усложнение анализа вредоносного трафика

SPAWNCHIMERA отличается от своих предшественников также в способе идентификации вредоносного трафика. Вместо статических проверок, основанных на жестко заданных значениях, теперь в функциях декодирования используется более сложный метод. Это затрудняет обратное проектирование и анализ.

Кроме того, в новой версии были удалены функции отладки, которые ранее снижали эффективность работы, что еще больше повысило скрытность вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: