Американската агенция за киберсигурност и инфраструктура (CISA) публикува нови детайли за RESURGE, зловреден имплант, използван в атаки „нулев ден“ чрез уязвимостта CVE-2025-0282, която компрометира Ivanti Connect Secure устройства. Актуализацията подчертава латентността на импланта и неговите усъвършенствани мрежови техники, позволяващи скрита комуникация и контрол от страна на нападателя.
Нова информация от CISA разкрива сложната структура на RESURGE
Първоначално документиран на 28 март 2025 г., имплантът може да оцелява след рестартиране, да създава webshell за кражба на идентификационни данни, създава акаунти, нулира пароли и ескалира привилегии на компрометираните устройства.
Според изследователи от компанията за инцидентен отговор Mandiant, уязвимостта CVE-2025-0282 е експлоатирана като нулев ден от средата на декември 2024 г. от заплаха, свързана с Китай, идентифицирана вътрешно като UNC5221.
Техника за прикрито взаимодействие и мрежова евазия
RESURGE представлява 32-битов Linux Shared Object файл (libdsupgrade.so), функциониращ като пасивен командно-контролен (C2) имплант с rootkit, bootkit, backdoor, dropper, proxy и тунелиране. Вместо да сигнализира към C2 сървъра, имплантът чака конкретна входяща TLS връзка, за да избегне мрежово наблюдение. Под процеса „web“ той hook-ва функцията accept(), инспектира входящи TLS пакети и търси специфични опити за връзка чрез CRC32 TLS fingerprint. Ако отпечатъкът не съвпада, трафикът се препраща към легитимния Ivanti сървър.
Нападателят използва фалшив сертификат на Ivanti за автентикация с импланта, който не криптира комуникацията, а служи за идентификация и имитация на легитимен сървър, усложнявайки откриването. След успешна автентикация се установява Mutual TLS сесия, криптирана чрез Elliptic Curve протокол, като имплантът проверява ключовете срещу твърдо кодирана CA стойност.
Допълнителни зловредни компоненти
RESURGE включва и вариант на SpawnSloth под името liblogblock.so, който манипулира логове, за да прикрие злонамерена активност, както и скрипт dsmain, който използва extract_vmlinux.sh и BusyBox утилити за модификация на boot-level системни файлове. Тези компоненти позволяват на импланта да дешифрира, модифицира и криптира отново firmware, гарантирайки дълготрайна персистентност.
Риск и препоръки
Според CISA, RESURGE може да остане латентен и неоткриваем, докато отдалечен нападател не се свърже. Това прави импланта активна и скрита заплаха за Ivanti Connect Secure устройства. Агенцията препоръчва на системните администратори да използват актуализираните индикатори на компрометиране (IoC) за идентифициране и премахване на RESURGE от засегнатите устройства.
