RESURGE-Malware: Eine Cyberbedrohung, die auf Ivanti-Geräte abzielt

malware warning

Die RESURGE -Malware stellt eine hochentwickelte Bedrohung für die Cybersicherheit dar und zielt speziell auf Schwachstellen in Ivanti Connect Secure (ICS) -Geräten ab. Laut der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) basiert RESURGE auf einer bereits bekannten Malware-Variante namens SPAWNCHIMERA , weist jedoch deutliche Verbesserungen auf, die sie hartnäckiger und gefährlicher machen.

Anstatt Alarm zu schlagen, zielt dieser Artikel darauf ab, IT-Experten, Sicherheitsanalysten und Organisationen über RESURGE zu informieren, wie es funktioniert und was getan werden kann, um seine Risiken zu mindern.

Was ist RESURGE-Malware?

RESURGE ist eine multifunktionale Schadsoftware, die als Rootkit, Dropper, Backdoor, Bootkit, Proxy und Tunneler agieren kann. Sie wird eingesetzt, um eine bekannte Sicherheitslücke mit der Bezeichnung CVE-2025-0282 auszunutzen , von der zuvor Ivanti Connect Secure, Policy Secure und Neurons für ZTA-Gateways betroffen waren.

Bei dieser Schwachstelle handelt es sich um einen stapelbasierten Pufferüberlauf, der es Angreifern ermöglicht, Schadcode remote auszuführen. Bleibt die Schwachstelle ungepatcht, kann sie Cyberkriminellen einen heimlichen und dauerhaften Zugang zu kompromittierten Netzwerken verschaffen.

Die CISA-Analyse von RESURGE deutet darauf hin, dass es Ähnlichkeiten mit SPAWNCHIMERA aufweist, einer verbesserten Variante des SPAWN-Malware-Ökosystems, das einer chinesischen Spionagegruppe zugeschrieben wird (UNC5337). RESURGE geht jedoch noch einen Schritt weiter und bietet zusätzliche Funktionen, die es zu einem effektiveren Werkzeug für Cyberangriffe machen.

Wie funktioniert RESURGE?

Nach der Bereitstellung auf einem anfälligen Ivanti-Gerät führt RESURGE eine Reihe anspruchsvoller Funktionen aus:

  1. Persistenz und Systemmanipulation
    • Es übersteht Systemneustarts und stellt sicher, dass seine Präsenz auch nach dem Neustart des Geräts erhalten bleibt.
    • Es modifiziert die Systemintegritätsprüfungen und verändert Schlüsseldateien, um einer Erkennung zu entgehen.
  2. Web Shell-Bereitstellung
    • Es ermöglicht den Zugriff über die Web-Shell, was zum Diebstahl von Anmeldeinformationen, zur unbefugten Kontoerstellung, zum Zurücksetzen von Passwörtern und zur Rechteausweitung missbraucht werden kann.
    • Angreifer können diesen Zugriff nutzen, um die Kontrolle über das System zu behalten und weitere Eingriffe zu ermöglichen.
  3. Manipulation auf Boot-Ebene
    • RESURGE kann bösartige Webshells auf die laufende Bootdiskette des Ivanti-Geräts kopieren.
    • Es bietet außerdem die Möglichkeit, das laufende Coreboot-Image zu manipulieren, was eine umfassende Kontrolle auf Systemebene ermöglicht.

Warum ist RESURGE ein Problem?

Das Vorhandensein von RESURGE in kompromittierten Systemen hat schwerwiegende Auswirkungen auf die Sicherheit:

  • Datenschutzverletzung und Spionage: Angreifer können die Malware verwenden, um vertrauliche Anmeldeinformationen zu stehlen, Zugriffskontrollen zu manipulieren und Informationen zu sammeln.
  • Netzwerkkompromittierung: Die Proxy- und Tunnelfunktionen der Malware ermöglichen die Erstellung von Backdoor-Verbindungen, sodass externe Bedrohungen unbemerkt auf interne Netzwerke zugreifen können.
  • Entwicklung von Malware: Die Tatsache, dass RESURGE auf früheren Malware-Stämmen aufbaut, lässt darauf schließen, dass die Betreiber ihre Taktiken kontinuierlich verfeinern. Dadurch ist es wahrscheinlich, dass zukünftige Varianten noch widerstandsfähiger und schwerer zu erkennen sein werden.

Microsoft hat die Sicherheitslücke CVE-2025-0282 auch mit einer anderen mit China verbundenen Bedrohungsgruppe, Silk Typhoon (ehemals Hafnium), in Verbindung gebracht. Dies deutet darauf hin, dass mehrere Cyberspionagegruppen Ivanti-Sicherheitslücken aktiv für verschiedene Angriffskampagnen ausnutzen.

Wie können sich Organisationen schützen?

Da RESURGE eine bekannte Sicherheitslücke ausnutzt, bleibt das Patchen die wichtigste Verteidigungsstrategie. Ivanti hat Updates zur Behebung der Schwachstelle veröffentlicht. Unternehmen werden dringend gebeten, diese Patches umgehend anzuwenden.

Über das Patchen hinaus sollten Sicherheitsteams zusätzliche Vorkehrungen treffen, um das Risiko einer Kompromittierung zu minimieren:

  • Anmeldeinformationen zurücksetzen und rotieren:
    • Ändern Sie die Passwörter aller möglicherweise betroffenen Domänenbenutzer und lokalen Konten.
    • Setzen Sie die Anmeldeinformationen für privilegierte und nicht privilegierte Konten zurück, um unbefugten Zugriff zu verhindern.
  • Zugriffsrichtlinien überprüfen und anpassen:
    • Entziehen Sie den betroffenen Geräten vorübergehend die Administratorrechte.
    • Implementieren Sie, wo möglich, eine Multi-Faktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene hinzuzufügen.
  • Auf Anomalien achten:
    • Überprüfen Sie Netzwerk- und Systemprotokolle aktiv auf ungewöhnliche Aktivitäten, insbesondere nicht autorisierte Zugriffsversuche.
    • Setzen Sie Endpoint Detection and Response (EDR)-Lösungen ein, um potenzielles Malware-Verhalten zu erkennen und zu neutralisieren.
  • Führen Sie Sicherheitsüberprüfungen durch:
    • Überprüfen Sie regelmäßig die Firewall-Regeln, die Systemintegrität und die Zugriffsprotokolle, um sicherzustellen, dass keine unbefugten Änderungen vorgenommen wurden.
    • Implementieren Sie eine strikte Segmentierung zwischen kritischen Systemen und gefährdeten Diensten, um die Auswirkungen eines Verstoßes zu begrenzen.

Fazit

Die Entdeckung der RESURGE-Malware unterstreicht die ständige Weiterentwicklung von Cyberbedrohungen, insbesondere im Zusammenhang mit staatlich geförderten Spionagekampagnen. Obwohl diese Malware hochentwickelt ist, können Unternehmen ihre Risiken durch Wachsamkeit, die Installation von Patches und die Durchsetzung strenger Sicherheitsrichtlinien minimieren.

Durch proaktives Handeln in Sachen Cybersicherheit können Unternehmen und Behörden sicherstellen, dass ihre Ivanti Appliances und ihre gesamte IT-Infrastruktur vor neuen Bedrohungen geschützt bleiben. RESURGE erinnert daran, dass Cybersicherheit keine einmalige Maßnahme ist, sondern ein kontinuierlicher Prozess der Anpassung und Abwehr.

Bis Willa
April 1, 2025
Malware
Deutsch
April 1, 2025
Malware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.