Malware RESURGE: Cyberzagrożenie atakujące urządzenia Ivanti

Malware RESURGE wyłania się jako wyrafinowane zagrożenie cyberbezpieczeństwa, w szczególności atakujące luki w zabezpieczeniach urządzeń Ivanti Connect Secure (ICS) . Według US Cybersecurity and Infrastructure Security Agency (CISA) RESURGE opiera się na wcześniej zidentyfikowanym wariancie malware znanym jako SPAWNCHIMERA , ale z zauważalnymi ulepszeniami, które czynią go bardziej trwałym i niebezpiecznym.

Celem tego artykułu nie jest wywoływanie paniki, lecz poinformowanie specjalistów IT, analityków ds. bezpieczeństwa i organizacji o RESURGE, sposobie jego działania i sposobach ograniczania ryzyka.

Czym jest złośliwe oprogramowanie RESURGE?

RESURGE to wielofunkcyjne złośliwe oprogramowanie, które może działać jako rootkit, dropper, backdoor, bootkit, proxy i tunneler . Zostało wdrożone w celu wykorzystania znanej luki w zabezpieczeniach, zidentyfikowanej jako CVE-2025-0282 , która wcześniej dotyczyła Ivanti Connect Secure, Policy Secure i Neurons for ZTA Gateways.

Ta konkretna luka to luka przepełnienia bufora stosu, która pozwala atakującym na zdalne wykonywanie złośliwego kodu. Jeśli nie zostanie naprawiona, może zapewnić cyberprzestępcom ukryty i trwały punkt zaczepienia w zainfekowanych sieciach.

Analiza RESURGE przeprowadzona przez CISA sugeruje, że ma on podobieństwa do SPAWNCHIMERA, ulepszonej wersji ekosystemu malware SPAWN przypisywanej chińskiej grupie szpiegowskiej (UNC5337). RESURGE idzie jednak dalej, włączając dodatkowe możliwości, co czyni go skuteczniejszym narzędziem do cyberwłamań.

Jak działa RESURGE?

Po wdrożeniu na podatnym na ataki urządzeniu Ivanti RESURGE wykonuje szereg zaawansowanych funkcji:

1. Trwałość i manipulacja systemem
   • Może przetrwać ponowne uruchomienie systemu, zapewniając swoją obecność nawet po ponownym uruchomieniu urządzenia.
   • Modyfikuje kontrole integralności systemu i zmienia kluczowe pliki, aby uniknąć wykrycia.
2. Wdrożenie powłoki internetowej
   • Umożliwia dostęp do powłoki internetowej, co może być wykorzystane do kradzieży danych uwierzytelniających, nieautoryzowanego tworzenia kont, resetowania haseł i eskalacji uprawnień.
   • Atakujący mogą wykorzystać ten dostęp, aby utrzymać kontrolę nad systemem i ułatwić dalsze włamania.
3. Manipulacja na poziomie rozruchowym
   • RESURGE może kopiować złośliwe powłoki internetowe na działający dysk rozruchowy urządzenia Ivanti.
   • Ma także możliwość manipulowania działającym obrazem coreboot, co zapewnia dogłębną kontrolę na poziomie systemu.

Dlaczego RESURGE budzi obawy?

Obecność RESURGE w zainfekowanych systemach stwarza poważne zagrożenia dla bezpieczeństwa:

• Naruszenie danych i szpiegostwo: atakujący mogą używać złośliwego oprogramowania w celu kradzieży poufnych danych uwierzytelniających, manipulowania kontrolą dostępu i gromadzenia informacji wywiadowczych.
• Naruszenie sieci: Możliwości oprogramowania malware w zakresie serwerów proxy i tunelowania umożliwiają mu tworzenie połączeń typu backdoor, dzięki czemu zewnętrzne zagrożenia mogą niezauważenie uzyskać dostęp do wewnętrznych sieci.
• Ewolucja złośliwego oprogramowania: Fakt, że RESURGE bazuje na poprzednich odmianach złośliwego oprogramowania, sugeruje, że jego twórcy nieustannie udoskonalają swoje taktyki, co sprawia, że prawdopodobne jest, iż przyszłe warianty będą jeszcze bardziej odporne i trudniejsze do wykrycia.

Co ciekawe, Microsoft powiązał również lukę CVE-2025-0282 z inną grupą zagrożeń powiązaną z Chinami, Silk Typhoon (dawniej Hafnium). Oznacza to, że wiele grup cybernetycznego szpiegostwa aktywnie wykorzystuje luki Ivanti w różnych kampaniach ataków.

Jak organizacje mogą się chronić?

Ponieważ RESURGE wykorzystuje znaną lukę w zabezpieczeniach, łatanie pozostaje najważniejszą strategią obronną. Ivanti wydało aktualizacje, aby naprawić lukę, a organizacje są proszone o natychmiastowe zastosowanie tych poprawek.

Oprócz stosowania poprawek zespoły ds. bezpieczeństwa powinny podjąć dodatkowe środki ostrożności w celu zminimalizowania ryzyka naruszenia bezpieczeństwa:

• Resetowanie i rotacja danych uwierzytelniających:
  • Zmień hasła wszystkich użytkowników domeny i kont lokalnych, które mogły zostać zainfekowane.
  • Zresetuj dane uwierzytelniające kont uprzywilejowanych i nieuprzywilejowanych, aby zapobiec nieautoryzowanemu dostępowi.
• Przegląd i dostosowanie zasad dostępu:
  • Tymczasowo cofnij uprawnienia administracyjne na urządzeniach, których to dotyczy.
  • W miarę możliwości wprowadź uwierzytelnianie wieloskładnikowe (MFA), aby dodać dodatkową warstwę zabezpieczeń.
• Monitoruj anomalie:
  • Aktywnie przeglądaj dzienniki sieciowe i systemowe pod kątem nietypowej aktywności, w szczególności prób nieautoryzowanego dostępu.
  • Wdróż rozwiązania do wykrywania i reagowania na zagrożenia w punktach końcowych (EDR) w celu wykrywania i neutralizowania potencjalnego zachowania złośliwego oprogramowania.
• Przeprowadzanie audytów bezpieczeństwa:
  • Regularnie sprawdzaj reguły zapory sieciowej, integralność systemu i dzienniki dostępu, aby mieć pewność, że nie wprowadzono żadnych nieautoryzowanych modyfikacji.
  • Wprowadź ścisłą segmentację pomiędzy systemami krytycznymi i narażonymi usługami, aby ograniczyć skutki naruszenia bezpieczeństwa.

Podsumowanie

Odkrycie złośliwego oprogramowania RESURGE podkreśla nieustannie ewoluującą naturę zagrożeń cybernetycznych, zwłaszcza tych związanych z kampaniami szpiegowskimi sponsorowanymi przez państwo. Chociaż to złośliwe oprogramowanie jest wysoce wyrafinowane, organizacje mogą ograniczyć jego ryzyko, zachowując czujność, stosując poprawki i egzekwując silne zasady bezpieczeństwa.

Przyjmując proaktywne stanowisko w kwestii cyberbezpieczeństwa, firmy i podmioty rządowe mogą zapewnić, że ich urządzenia Ivanti — i szersza infrastruktura IT — pozostaną chronione przed pojawiającymi się zagrożeniami. RESURGE przypomina, że cyberbezpieczeństwo nie jest jednorazowym wysiłkiem, ale ciągłym procesem adaptacji i obrony.