Malware RESURGE: una minaccia informatica che colpisce i dispositivi Ivanti

malware warning

Il malware RESURGE emerge come una minaccia sofisticata per la sicurezza informatica, che prende di mira specificamente le vulnerabilità nelle appliance Ivanti Connect Secure (ICS) . Secondo la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti , RESURGE si basa su una variante di malware precedentemente identificata nota come SPAWNCHIMERA , ma con notevoli miglioramenti che la rendono più persistente e pericolosa.

Invece di creare allarme, questo articolo intende informare i professionisti IT, gli analisti della sicurezza e le organizzazioni su RESURGE, sul suo funzionamento e su cosa si può fare per mitigarne i rischi.

Che cos'è il malware RESURGE?

RESURGE è un malware multifunzionale in grado di funzionare come rootkit, dropper, backdoor, bootkit, proxy e tunneler . Viene distribuito per sfruttare una vulnerabilità di sicurezza nota, identificata come CVE-2025-0282 , che in precedenza aveva interessato Ivanti Connect Secure, Policy Secure e Neurons per ZTA Gateway.

Questa particolare vulnerabilità è un difetto di buffer overflow basato sullo stack che consente agli aggressori di eseguire codice dannoso da remoto. Se non viene patchata, può fornire ai criminali informatici un punto d'appoggio furtivo e persistente nelle reti compromesse.

L'analisi di RESURGE di CISA suggerisce che condivide somiglianze con SPAWNCHIMERA, una variante aggiornata dell'ecosistema di malware SPAWN attribuito a un gruppo di spionaggio con sede in Cina (UNC5337). Tuttavia, RESURGE va oltre incorporando capacità aggiuntive, rendendolo uno strumento più efficace per le intrusioni informatiche.

Come funziona RESURGE?

Una volta distribuito su un dispositivo Ivanti vulnerabile, RESURGE esegue una serie di funzioni sofisticate:

  1. Persistenza e manipolazione del sistema
    • Può sopravvivere ai riavvii del sistema, garantendo la sua presenza anche dopo il riavvio del dispositivo.
    • Modifica i controlli di integrità del sistema e altera i file chiave per eludere il rilevamento.
  2. Distribuzione Web Shell
    • Consente l'accesso tramite web shell, che può essere sfruttato per il furto di credenziali, la creazione di account non autorizzati, la reimpostazione di password e l'escalation di privilegi.
    • Gli aggressori possono utilizzare questo accesso per mantenere il controllo sul sistema e facilitare ulteriori intrusioni.
  3. Manipolazione a livello di avvio
    • RESURGE può copiare web shell dannose sul disco di avvio in esecuzione del dispositivo Ivanti.
    • Ha anche la capacità di manipolare l'immagine coreboot in esecuzione, il che garantisce un controllo approfondito a livello di sistema.

Perché RESURGE è motivo di preoccupazione?

La presenza di RESURGE nei sistemi compromessi pone gravi implicazioni per la sicurezza:

  • Violazione dei dati e spionaggio: gli aggressori possono utilizzare il malware per rubare credenziali sensibili, manipolare i controlli di accesso e raccogliere informazioni.
  • Compromissione della rete: le capacità di proxy e tunneling del malware consentono di creare connessioni backdoor, consentendo alle minacce esterne di accedere alle reti interne senza essere notate.
  • Evoluzione del malware: il fatto che RESURGE si basi su precedenti ceppi di malware suggerisce che i suoi operatori stanno costantemente perfezionando le loro tattiche, il che rende probabile che le varianti future saranno ancora più resistenti e difficili da rilevare.

In particolare, Microsoft ha anche collegato la vulnerabilità CVE-2025-0282 a un altro gruppo di minacce associato alla Cina, Silk Typhoon (ex Hafnium). Ciò indica che più gruppi di cyber spionaggio stanno sfruttando attivamente le vulnerabilità di Ivanti per diverse campagne di attacco.

Come possono le organizzazioni proteggersi?

Poiché RESURGE sfrutta una falla di sicurezza nota, l'applicazione di patch resta la strategia di difesa più critica. Ivanti ha rilasciato aggiornamenti per correggere la vulnerabilità e le organizzazioni sono invitate ad applicare immediatamente queste patch.

Oltre all'applicazione delle patch, i team di sicurezza dovrebbero adottare ulteriori precauzioni per ridurre al minimo il rischio di compromissione:

  • Reimposta e ruota le credenziali:
    • Cambiare le password di tutti gli utenti del dominio e degli account locali che potrebbero essere stati interessati.
    • Reimposta le credenziali per gli account privilegiati e non privilegiati per impedire accessi non autorizzati.
  • Rivedere e modificare le politiche di accesso:
    • Revoca temporaneamente i privilegi amministrativi sui dispositivi interessati.
    • Ove possibile, implementare l'autenticazione a più fattori (MFA) per aggiungere un ulteriore livello di sicurezza.
  • Monitorare le anomalie:
    • Esaminare attivamente i registri di rete e di sistema per rilevare eventuali attività insolite, in particolare tentativi di accesso non autorizzati.
    • Implementare soluzioni di rilevamento e risposta degli endpoint (EDR) per rilevare e neutralizzare potenziali comportamenti malware.
  • Eseguire audit di sicurezza:
    • Controllare regolarmente le regole del firewall, l'integrità del sistema e i registri di accesso per garantire che non siano state apportate modifiche non autorizzate.
    • Implementare una rigorosa segmentazione tra sistemi critici e servizi esposti per limitare l'impatto di una violazione.

Conclusione

La scoperta del malware RESURGE evidenzia la natura in continua evoluzione delle minacce informatiche, in particolare quelle associate alle campagne di spionaggio sponsorizzate dallo stato. Sebbene questo malware sia altamente sofisticato, le organizzazioni possono mitigarne i rischi rimanendo vigili, applicando patch e applicando rigide policy di sicurezza.

Adottando una posizione proattiva sulla sicurezza informatica, le aziende e gli enti governativi possono garantire che i loro dispositivi Ivanti, e l'infrastruttura IT più ampia, rimangano protetti dalle minacce emergenti. RESURGE ci ricorda che la sicurezza informatica non è uno sforzo una tantum, ma un processo continuo di adattamento e difesa.

Entro il Willa
April 1, 2025
Malware
Italiano
April 1, 2025
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.