RESURGE Malware

Forskere har afsløret en ny malware-stamme, RESURGE, som er blevet implementeret i angreb, der udnytter en nu-patchet sikkerhedssårbarhed i Ivanti Connect Secure (ICS) apparater. Denne sofistikerede malware bygger på mulighederne i SPAWNCHIMERA malware-varianten, men introducerer unikke kommandoer, der ændrer dens adfærd.

Et alsidigt og truende værktøjssæt

RESURGE er ikke bare en simpel udnyttelse – den besidder en række funktioner, herunder at fungere som rootkit, dropper, bagdør, bootkit, proxy og tunneler. Disse egenskaber gør det til et formidabelt værktøj for angribere, der ønsker at bevare vedholdenhed og kontrol over kompromitterede systemer.

Den udnyttede sårbarhed: CVE-2025-0282

Malwaren udnytter CVE-2025-0282, en stack-baseret bufferoverløbssårbarhed, der påvirker flere Ivanti-produkter, herunder:

• Ivanti Connect Secure (før version 22.7R2.5)
• Ivanti Policy Secure (før version 22.7R1.2)
• Ivanti Neurons til ZTA Gateways (før version 22.7R2.3)

Denne fejl muliggør fjernudførelse af kode, hvilket giver angribere mulighed for at implementere sofistikeret malware som RESURGE.

SPAWN Malware-økosystemet

Cybersikkerhedsforskere har knyttet CVE-2025-0282-udnyttelse til SPAWN-økosystemet af malware, som omfatter komponenter som:

• SPAWNANT
• SPAWNMOLE
• SPAWNSNEL

Dette økosystem er blevet tilskrevet UNC5337, en Kina-nexus spionagegruppe kendt for cyberspionageoperationer.

SPAWNCHIMERA: The Evolved Threat

En bemærkelsesværdig udvikling i angrebskæden er SPAWNCHIMERA-varianten, som konsoliderer de individuelle SPAWN-moduler til en enkelt monolitisk malware. Denne version introducerer en væsentlig forbedring:

• Inter-proces kommunikation via UNIX domæne sockets
• Patching af CVE-2025-0282 for at forhindre rivaliserende trusselsaktører i at udnytte den samme sårbarhed

RESURGE: A Step Beyond SPAWNCHIMERA

Den seneste iteration, RESURGE ('libdsupgrade.so'), udvider på SPAWNCHIMERA med tre ekstra kommandoer:

• Persistens og systemmanipulation : Den indsætter sig selv i 'ld.so.preload', opretter en web-shell, ændrer integritetstjek og modificerer filer.
• Udnyttelse af legitimationsoplysninger og privilegier – Muliggør brug af web-shell til indsamling af legitimationsoplysninger, kontooprettelse, nulstilling af adgangskode og eskalering af privilegier.
• Boot Persistence – Kopierer web-skallen til Ivanti-startdisketten og ændrer coreboot-imaget for at sikre langsigtet adgang.

Yderligere resultater: SPAWNSLOTH og DSMain

Forskere har også identificeret to yderligere malware-artefakter fra en kompromitteret ICS-enhed inden for kritisk infrastruktur:

• SPAWNSLOTH ('liblogblock.so') – En variant indlejret i RESURGE, der manipulerer Ivanti-enhedslogfiler til at dække spor.
• DSMain – En brugerdefineret 64-bit Linux ELF binær, der indeholder et open source shell-script og komponenter fra BusyBox, hvilket muliggør kerneudtræk og yderligere systemkompromis.

Zero-Day Exploitation af Another Threat Actor

Navnlig er CVE-2025-0282 også blevet udnyttet som en nul-dag af Silk Typhoon (tidligere Hafnium ), en anden Kina-forbundet cyberspionagegruppe. Dette understreger den høje værdi af denne sårbarhed blandt statssponsorerede trusselsaktører.

Afbødningsstrategier: Vær på forkant med truslen

I betragtning af den hurtige udvikling af disse malware-varianter skal organisationer straks tage skridt til at beskytte deres Ivanti-forekomster:

• Patch til den seneste version for at lukke CVE-2025-0282-sårbarheden.
• Nulstil legitimationsoplysninger for både privilegerede og ikke-privilegerede konti.
• Roter adgangskoder til alle domæner og lokale konti.

Med angribere, der aktivt forfiner deres teknikker, er proaktive forsvarsforanstaltninger afgørende for at beskytte kritisk infrastruktur og følsomme data.