Вредоносное ПО RESURGE: киберугроза, нацеленная на устройства Ivanti

Вредоносное ПО RESURGE представляет собой сложную угрозу кибербезопасности, нацеленную на уязвимости в устройствах Ivanti Connect Secure (ICS) . По данным Агентства по кибербезопасности и безопасности инфраструктуры США (CISA) , RESURGE основывается на ранее выявленном варианте вредоносного ПО, известном как SPAWNCHIMERA , но с заметными улучшениями, которые делают его более устойчивым и опасным.

Цель этой статьи не в том, чтобы вызывать тревогу, а в том, чтобы проинформировать ИТ-специалистов, аналитиков по безопасности и организации о RESURGE, о том, как он работает и что можно сделать для снижения связанных с ним рисков.

Что такое вредоносное ПО RESURGE?

RESURGE — это многофункциональное вредоносное ПО, способное работать как руткит, дроппер, бэкдор, буткит, прокси и туннелер . Оно используется для эксплуатации известной уязвимости безопасности, обозначенной как CVE-2025-0282 , которая ранее затронула Ivanti Connect Secure, Policy Secure и Neurons for ZTA Gateways.

Эта конкретная уязвимость представляет собой переполнение буфера на основе стека, что позволяет злоумышленникам выполнять вредоносный код удаленно. Если ее не исправить, она может предоставить киберпреступникам скрытую и постоянную опору в скомпрометированных сетях.

Анализ RESURGE, проведенный CISA, показывает, что он имеет сходство со SPAWNCHIMERA, усовершенствованным вариантом вредоносной экосистемы SPAWN, приписываемой китайской шпионской группе (UNC5337). Однако RESURGE идет дальше, внедряя дополнительные возможности, что делает его более эффективным инструментом для кибервторжений.

Как работает RESURGE?

После развертывания на уязвимом устройстве Ivanti RESURGE выполняет ряд сложных функций:

1. Настойчивость и манипуляция системой
   • Он может выдерживать перезагрузки системы, обеспечивая сохранение своего присутствия даже после перезапуска устройства.
   • Он изменяет проверки целостности системы и ключевые файлы, чтобы избежать обнаружения.
2. Развертывание веб-оболочки
   • Он обеспечивает доступ к веб-оболочке, что может быть использовано для кражи учетных данных, несанкционированного создания учетных записей, сброса паролей и повышения привилегий.
   • Злоумышленники могут использовать этот доступ для сохранения контроля над системой и осуществления дальнейших вторжений.
3. Манипуляции на уровне загрузки
   • RESURGE может копировать вредоносные веб-оболочки на работающий загрузочный диск устройства Ivanti.
   • Он также имеет возможность манипулировать запущенным образом coreboot, что обеспечивает глубокий контроль на системном уровне.

Почему RESURGE вызывает беспокойство?

Присутствие RESURGE в скомпрометированных системах создает серьезные проблемы безопасности:

• Утечка данных и шпионаж: злоумышленники могут использовать вредоносное ПО для кражи конфиденциальных учетных данных, манипулирования средствами управления доступом и сбора разведывательной информации.
• Компрометация сети: возможности вредоносного ПО по созданию прокси-серверов и туннелей позволяют ему создавать бэкдор-соединения, позволяя внешним угрозам незаметно получать доступ к внутренним сетям.
• Эволюция вредоносного ПО: тот факт, что RESURGE создан на основе предыдущих штаммов вредоносного ПО, говорит о том, что его операторы постоянно совершенствуют свою тактику, поэтому вполне вероятно, что будущие варианты будут еще более устойчивыми и их будет сложнее обнаружить.

Примечательно, что Microsoft также связала уязвимость CVE-2025-0282 с другой группой угроз, связанной с Китаем, Silk Typhoon (ранее Hafnium). Это указывает на то, что несколько групп кибершпионажа активно используют уязвимости Ivanti для различных кампаний атак.

Как организации могут защитить себя?

Поскольку RESURGE использует известную уязвимость безопасности, исправление остается наиболее важной стратегией защиты. Ivanti выпустила обновления для исправления уязвимости, и организациям настоятельно рекомендуется немедленно применить эти исправления.

Помимо исправления, группам безопасности следует принять дополнительные меры предосторожности, чтобы минимизировать риск компрометации:

• Сброс и ротация учетных данных:
  • Измените пароли всех пользователей домена и локальных учетных записей, которые могли быть затронуты.
  • Сбросьте учетные данные для привилегированных и непривилегированных учетных записей, чтобы предотвратить несанкционированный доступ.
• Просмотрите и скорректируйте политики доступа:
  • Временно отмените административные привилегии на затронутых устройствах.
  • По возможности используйте многофакторную аутентификацию (MFA), чтобы обеспечить дополнительный уровень безопасности.
• Мониторинг аномалий:
  • Активно просматривайте сетевые и системные журналы на предмет необычной активности, особенно попыток несанкционированного доступа.
  • Развертывайте решения по обнаружению и реагированию на конечные точки (EDR) для обнаружения и нейтрализации потенциально вредоносного поведения.
• Проведение аудитов безопасности:
  • Регулярно проверяйте правила брандмауэра, целостность системы и журналы доступа, чтобы убедиться в отсутствии несанкционированных изменений.
  • Внедрите строгую сегментацию между критически важными системами и уязвимыми службами, чтобы ограничить последствия нарушения.

Итог

Обнаружение вредоносного ПО RESURGE подчеркивает постоянно меняющуюся природу киберугроз, особенно тех, которые связаны с финансируемыми государством шпионскими кампаниями. Хотя это вредоносное ПО является очень сложным, организации могут снизить его риски, оставаясь бдительными, применяя исправления и применяя строгие политики безопасности.

Занимая проактивную позицию в отношении кибербезопасности, предприятия и государственные учреждения могут гарантировать, что их устройства Ivanti и более широкая ИТ-инфраструктура останутся защищенными от возникающих угроз. RESURGE — это напоминание о том, что кибербезопасность — это не разовое усилие, а непрерывный процесс адаптации и защиты.