RESURGE Malware

Výzkumníci odhalili nový kmen malwaru RESURGE, který byl nasazen při útocích využívajících nyní opravenou bezpečnostní chybu v zařízeních Ivanti Connect Secure (ICS). Tento sofistikovaný malware staví na schopnostech varianty malwaru SPAWNCHIMERA, ale zavádí jedinečné příkazy, které upravují jeho chování.

Všestranná a hrozivá sada nástrojů

RESURGE není jen jednoduchý exploit – má řadu funkcí, včetně fungování jako rootkit, dropper, backdoor, bootkit, proxy a tuneler. Tyto schopnosti z něj dělají impozantní nástroj pro útočníky, kteří chtějí udržet vytrvalost a kontrolu nad napadenými systémy.

Zneužívaná chyba zabezpečení: CVE-2025-0282

Malware využívá CVE-2025-0282, zranitelnost přetečení vyrovnávací paměti založené na zásobníku, která ovlivňuje několik produktů Ivanti, včetně:

• Ivanti Connect Secure (před verzí 22.7R2.5)
• Ivanti Policy Secure (před verzí 22.7R1.2)
• Ivanti Neurons pro brány ZTA (před verzí 22.7R2.3)

Tato chyba umožňuje vzdálené spuštění kódu, což umožňuje útočníkům nasadit sofistikovaný malware, jako je RESURGE.

Ekosystém SPAWN Malware

Výzkumníci v oblasti kybernetické bezpečnosti propojili zneužívání CVE-2025-0282 s ekosystémem malwaru SPAWN, který zahrnuje komponenty jako:

• TŘETEL
• SPAWNMOLE
• SPAWNSNAIL

Tento ekosystém byl připsán UNC5337, čínské špionážní skupině známé pro kybernetické špionážní operace.

SPAWNCHIMERA: Vyvinutá hrozba

Pozoruhodným vývojem v řetězci útoků je varianta SPAWNCHIMERA, která konsoliduje jednotlivé moduly SPAWN do jediného monolitického malwaru. Tato verze přináší významné vylepšení:

• Meziprocesová komunikace prostřednictvím soketů domény UNIX
• Oprava CVE-2025-0282, aby se zabránilo konkurenčním aktérům hrozeb využít stejnou zranitelnost

OBNOVENÍ: A Step Beyond SPAWNCHIMERA

Nejnovější iterace, RESURGE ('libdsupgrade.so'), rozšiřuje SPAWNCHIMERA o tři další příkazy:

• Persistence & System Manipulation : Vkládá se do 'ld.so.preload', nastavuje webový shell, mění kontroly integrity a upravuje soubory.
• Credential & Privilege Exploitation – Umožňuje použití webového prostředí pro získávání pověření, vytváření účtů, resetování hesel a eskalaci oprávnění.
• Boot Persistence – Zkopíruje webový shell na spouštěcí disk Ivanti a upraví obraz coreboot, aby byl zajištěn dlouhodobý přístup.

Další zjištění: SPAWNSLOTH a DSMain

Výzkumníci také identifikovali dva další malwarové artefakty z kompromitovaného zařízení ICS v kritické infrastruktuře:

• SPAWNSLOTH ('liblogblock.so') – Varianta vložená do RESURGE, která manipuluje s protokoly zařízení Ivanti, aby zakryla stopy.
• DSMain – Vlastní 64bitový linuxový binární soubor ELF obsahující open-source shell skript a komponenty z BusyBoxu, umožňující extrakci jádra a další systémové kompromisy.

Zero-Day Exploitation dalším aktérem hrozby

Pozoruhodné je, že CVE-2025-0282 byl také zneužit jako zero-day Silk Typhoon (dříve Hafnium ), další kyberšpionážní skupina napojená na Čínu. To podtrhuje vysokou hodnotu této zranitelnosti mezi státem podporovanými aktéry hrozeb.

Strategie zmírňování: Buďte před hrozbou

Vzhledem k rychlému vývoji těchto variant malwaru musí organizace okamžitě přijmout opatření k ochraně svých instancí Ivanti:

• Opravte nejnovější verzi a zavřete tak chybu zabezpečení CVE-2025-0282.
• Obnovte přihlašovací údaje pro privilegované i neprivilegované účty.
• Střídejte hesla pro všechny doménové a místní účty.

• Zkontrolujte zásady přístupu a dočasně odeberte oprávnění pro dotčená zařízení.

• Sledujte účty pro jakékoli známky anomální aktivity.

Vzhledem k tomu, že útočníci aktivně zdokonalují své techniky, jsou pro ochranu kritické infrastruktury a citlivých dat nezbytná proaktivní obranná opatření.