Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Malware RESURGE

Malware RESURGE

Entro Mezo nel Minaccia persistente avanzata (APT), Malware
Traduci in:
Italiano

I ricercatori hanno scoperto un nuovo ceppo di malware, RESURGE, che è stato distribuito in attacchi che sfruttano una vulnerabilità di sicurezza ora corretta nelle appliance Ivanti Connect Secure (ICS). Questo malware sofisticato si basa sulle capacità della variante di malware SPAWNCHIMERA ma introduce comandi univoci che ne modificano il comportamento.

Un kit di strumenti versatile e minaccioso

RESURGE non è solo un semplice exploit: possiede una gamma di funzionalità, tra cui agire come rootkit, dropper, backdoor, bootkit, proxy e tunneler. Queste capacità lo rendono uno strumento formidabile per gli aggressori che cercano di mantenere la persistenza e il controllo sui sistemi compromessi.

Vulnerabilità sfruttata: CVE-2025-0282

Il malware sfrutta CVE-2025-0282, una vulnerabilità di buffer overflow basata sullo stack che colpisce diversi prodotti Ivanti, tra cui:

  • Ivanti Connect Secure (prima della versione 22.7R2.5)
  • Ivanti Policy Secure (prima della versione 22.7R1.2)
  • Ivanti Neurons per ZTA Gateways (prima della versione 22.7R2.3)

Questa falla consente l'esecuzione di codice remoto, consentendo agli aggressori di distribuire malware sofisticati come RESURGE.

L’ecosistema del malware SPAWN

I ricercatori di sicurezza informatica hanno collegato lo sfruttamento CVE-2025-0282 all'ecosistema di malware SPAWN, che include componenti quali:

  • DEPOSITANTE
  • TALPA
  • Lumaca di uova

Questo ecosistema è stato attribuito a UNC5337, un gruppo di spionaggio con legami con la Cina, noto per le sue operazioni di cyberspionaggio.

SPAWNCHIMERA: La minaccia evoluta

Uno sviluppo degno di nota nella catena di attacco è la variante SPAWNCHIMERA, che consolida i singoli moduli SPAWN in un singolo malware monolitico. Questa versione introduce un miglioramento significativo:

  • Comunicazione interprocesso tramite socket di dominio UNIX
  • Patching di CVE-2025-0282 per impedire ad attori di minacce rivali di sfruttare la stessa vulnerabilità

RESURGE: un passo oltre SPAWNCHIMERA

L'ultima iterazione, RESURGE ('libdsupgrade.so'), amplia SPAWNCHIMERA con tre comandi aggiuntivi:

  • Persistenza e manipolazione del sistema : si inserisce in 'ld.so.preload', imposta una Web shell, altera i controlli di integrità e modifica i file.
  • Sfruttamento di credenziali e privilegi : consente l'utilizzo di Web shell per la raccolta di credenziali, la creazione di account, la reimpostazione delle password e l'escalation dei privilegi.
  • Boot Persistence : copia la Web shell sul disco di avvio in esecuzione di Ivanti e modifica l'immagine coreboot per garantire l'accesso a lungo termine.

Ulteriori risultati: SPAWNSLOTH e DSMain

I ricercatori hanno inoltre identificato altri due artefatti malware provenienti da un dispositivo ICS compromesso all'interno di un'infrastruttura critica:

  • SPAWNSLOTH ('liblogblock.so') – Una variante incorporata in RESURGE che manipola i registri dei dispositivi Ivanti per nascondere le tracce.
  • DSMain – Un binario ELF Linux a 64 bit personalizzato contenente uno script shell open source e componenti di BusyBox, che consente l'estrazione del kernel e l'ulteriore compromissione del sistema.

Sfruttamento di Zero-Day da parte di un altro attore di minacce

In particolare, CVE-2025-0282 è stato sfruttato come zero-day anche da Silk Typhoon (ex Hafnium ), un altro gruppo di cyber-spionaggio legato alla Cina. Ciò sottolinea l'alto valore di questa vulnerabilità tra gli attori delle minacce sponsorizzati dallo stato.

Strategie di mitigazione: anticipare la minaccia

Data la rapida evoluzione di queste varianti di malware, le organizzazioni devono adottare misure immediate per proteggere le proprie istanze Ivanti:

  • Applicare la patch alla versione più recente per chiudere la vulnerabilità CVE-2025-0282.
  • Reimposta le credenziali sia per gli account privilegiati che per quelli non privilegiati.
  • Ruota le password per tutti gli account di dominio e locali.
  • Rivedere i criteri di accesso e revocare temporaneamente i privilegi per i dispositivi interessati.
  • Monitorare eventuali segnali di attività anomala.

Poiché gli aggressori stanno costantemente perfezionando le loro tecniche, le misure di difesa proattive sono essenziali per salvaguardare le infrastrutture critiche e i dati sensibili.

Tendenza

I più visti

Caricamento in corso...