Malware RESURGE: uma ameaça cibernética que tem como alvo os dispositivos Ivanti

malware warning

O malware RESURGE surge como uma ameaça sofisticada à segurança cibernética, visando especificamente vulnerabilidades em dispositivos Ivanti Connect Secure (ICS) . De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) , o RESURGE se baseia em uma variante de malware previamente identificada, conhecida como SPAWNCHIMERA , mas com melhorias notáveis que o tornam mais persistente e perigoso.

Em vez de causar alarme, este artigo tem como objetivo informar profissionais de TI, analistas de segurança e organizações sobre o RESURGE, como ele opera e o que pode ser feito para mitigar seus riscos.

O que é o malware RESURGE?

RESURGE é um malware multifuncional capaz de operar como rootkit, dropper, backdoor, bootkit, proxy e tunneler . Ele é implantado para explorar uma vulnerabilidade de segurança conhecida, identificada como CVE-2025-0282 , que afetou anteriormente o Ivanti Connect Secure, Policy Secure e Neurons para ZTA Gateways.

Essa vulnerabilidade em particular é uma falha de estouro de buffer baseada em pilha que permite que invasores executem código malicioso remotamente. Se não for corrigida, ela pode fornecer aos cibercriminosos uma posição furtiva e persistente em redes comprometidas.

A análise do RESURGE pela CISA sugere que ele compartilha similaridades com o SPAWNCHIMERA, uma variante atualizada do ecossistema de malware SPAWN atribuída a um grupo de espionagem baseado na China (UNC5337). No entanto, o RESURGE vai além ao incorporar capacidades adicionais, tornando-o uma ferramenta mais eficaz para intrusões cibernéticas.

Como o RESURGE funciona?

Uma vez implantado em um dispositivo Ivanti vulnerável, o RESURGE executa uma série de funções sofisticadas:

  1. Persistência e Manipulação do Sistema
    • Ele pode sobreviver a reinicializações do sistema, garantindo que sua presença permaneça mesmo após o dispositivo ser reiniciado.
    • Ele modifica as verificações de integridade do sistema e altera arquivos importantes para evitar a detecção.
  2. Implantação do Web Shell
    • Ele permite acesso ao shell da web, que pode ser explorado para roubo de credenciais, criação de contas não autorizadas, redefinições de senhas e escalonamento de privilégios.
    • Os invasores podem usar esse acesso para manter o controle sobre o sistema e facilitar novas invasões.
  3. Manipulação no nível de inicialização
    • O RESURGE pode copiar shells da web maliciosos para o disco de inicialização em execução do dispositivo Ivanti.
    • Ele também tem a capacidade de manipular a imagem do coreboot em execução, o que fornece controle profundo no nível do sistema.

Por que o RESURGE é uma preocupação?

A presença do RESURGE em sistemas comprometidos traz sérias implicações de segurança:

  • Violação de dados e espionagem: invasores podem usar malware para roubar credenciais confidenciais, manipular controles de acesso e coletar informações.
  • Comprometimento de rede: os recursos de proxy e tunelamento do malware permitem que ele crie conexões de backdoor, permitindo que ameaças externas acessem redes internas sem serem notadas.
  • Evolução do malware: O fato de o RESURGE se basear em cepas de malware anteriores sugere que seus operadores estão continuamente refinando suas táticas, tornando provável que variantes futuras sejam ainda mais resilientes e difíceis de detectar.

Notavelmente, a Microsoft também vinculou a vulnerabilidade CVE-2025-0282 a outro grupo de ameaças associado à China, Silk Typhoon (anteriormente Hafnium). Isso indica que vários grupos de espionagem cibernética estão explorando ativamente as vulnerabilidades do Ivanti para diferentes campanhas de ataque.

Como as organizações podem se proteger?

Como o RESURGE explora uma falha de segurança conhecida, a aplicação de patches continua sendo a estratégia de defesa mais crítica. A Ivanti lançou atualizações para corrigir a vulnerabilidade, e as organizações são instadas a aplicar esses patches imediatamente.

Além da aplicação de patches, as equipes de segurança devem tomar precauções adicionais para minimizar o risco de comprometimento:

  • Redefinir e girar credenciais:
    • Altere as senhas de todos os usuários do domínio e contas locais que podem ter sido afetados.
    • Redefina as credenciais de contas privilegiadas e não privilegiadas para impedir acesso não autorizado.
  • Revise e ajuste as políticas de acesso:
    • Revogue temporariamente os privilégios administrativos em dispositivos afetados.
    • Implemente autenticação multifator (MFA) sempre que possível para adicionar uma camada extra de segurança.
  • Monitorar anomalias:
    • Revise ativamente os registros da rede e do sistema em busca de atividades incomuns, especialmente tentativas de acesso não autorizado.
    • Implante soluções de detecção e resposta de endpoint (EDR) para detectar e neutralizar comportamento potencial de malware.
  • Realizar auditorias de segurança:
    • Audite regularmente as regras de firewall, a integridade do sistema e os logs de acesso para garantir que nenhuma modificação não autorizada tenha sido feita.
    • Implemente uma segmentação rigorosa entre sistemas críticos e serviços expostos para limitar o impacto de uma violação.

Conclusão

A descoberta do malware RESURGE destaca a natureza em constante evolução das ameaças cibernéticas, especialmente aquelas associadas a campanhas de espionagem patrocinadas pelo estado. Embora esse malware seja altamente sofisticado, as organizações podem mitigar seus riscos permanecendo vigilantes, aplicando patches e aplicando fortes políticas de segurança.

Ao adotar uma postura proativa em relação à segurança cibernética, empresas e entidades governamentais podem garantir que seus dispositivos Ivanti — e infraestrutura de TI mais ampla — permaneçam protegidos contra ameaças emergentes. RESURGE é um lembrete de que a segurança cibernética não é um esforço único, mas um processo contínuo de adaptação e defesa.

Por Willa
April 1, 2025
Malware
Portuguese
April 1, 2025
Malware

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.