Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) RESURGE-malware

RESURGE-malware

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:
Nederlands

Onderzoekers hebben een nieuwe malware-stam ontdekt, RESURGE, die is ingezet bij aanvallen waarbij gebruik is gemaakt van een inmiddels gepatchte beveiligingskwetsbaarheid in Ivanti Connect Secure (ICS)-apparaten. Deze geavanceerde malware bouwt voort op de mogelijkheden van de SPAWNCHIMERA-malwarevariant, maar introduceert unieke opdrachten die het gedrag ervan wijzigen.

Een veelzijdige en bedreigende gereedschapskist

RESURGE is niet zomaar een simpele exploit: het heeft een scala aan functionaliteiten, waaronder het fungeren als rootkit, dropper, backdoor, bootkit, proxy en tunneler. Deze mogelijkheden maken het een formidabele tool voor aanvallers die persistentie en controle over gecompromitteerde systemen willen behouden.

De uitgebuite kwetsbaarheid: CVE-2025-0282

De malware maakt misbruik van CVE-2025-0282, een stack-gebaseerde buffer overflow-kwetsbaarheid die meerdere Ivanti-producten treft, waaronder:

  • Ivanti Connect Secure (vóór versie 22.7R2.5)
  • Ivanti Policy Secure (vóór versie 22.7R1.2)
  • Ivanti Neurons voor ZTA Gateways (vóór versie 22.7R2.3)

Deze fout maakt het mogelijk om code op afstand uit te voeren, waardoor aanvallers geavanceerde malware zoals RESURGE kunnen installeren.

Het SPAWN-malware-ecosysteem

Cybersecurityonderzoekers hebben de exploitatie van CVE-2025-0282 in verband gebracht met het SPAWN-ecosysteem van malware, dat componenten omvat zoals:

  • KWEEK
  • KRAAMMOLE
  • KUITSLAK

Dit ecosysteem wordt toegeschreven aan UNC5337, een spionagegroep met een Chinese focus die bekendstaat om cyberespionageactiviteiten.

SPAWNCHIMERA: De geëvolueerde bedreiging

Een opvallende ontwikkeling in de aanvalsketen is de SPAWNCHIMERA-variant, die de individuele SPAWN-modules consolideert in één monolithische malware. Deze versie introduceert een significante verbetering:

  • Inter-procescommunicatie via UNIX-domeinsockets
  • Patchen van CVE-2025-0282 om te voorkomen dat rivaliserende dreigingsactoren dezelfde kwetsbaarheid misbruiken

RESURGE: Een stap verder dan SPAWNCHIMERA

De nieuwste versie, RESURGE ('libdsupgrade.so'), breidt SPAWNCHIMERA uit met drie extra opdrachten:

  • Persistentie en systeemmanipulatie : Het voegt zichzelf toe aan 'ld.so.preload', stelt een webshell in, wijzigt integriteitscontroles en wijzigt bestanden.
  • Exploitatie van inloggegevens en privileges – Maakt het mogelijk om een webshell te gebruiken voor het verzamelen van inloggegevens, het aanmaken van accounts, het opnieuw instellen van wachtwoorden en het verhogen van privileges.
  • Boot Persistence – Kopieert de webshell naar de Ivanti-opstartschijf en wijzigt de coreboot-image om toegang op de lange termijn te garanderen.

Aanvullende bevindingen: SPAWNSLOTH en DSMain

Onderzoekers hebben ook twee extra malware-artefacten geïdentificeerd van een gecompromitteerd ICS-apparaat binnen de kritieke infrastructuur:

  • SPAWNSLOTH ('liblogblock.so') – Een variant die is ingebouwd in RESURGE en die de logboeken van Ivanti-apparaten manipuleert om sporen te wissen.
  • DSMain – Een aangepaste 64-bits Linux ELF-binary met een open-source shell-script en componenten van BusyBox, waarmee kernel-extractie en verdere systeemcompromittering mogelijk zijn.

Zero-Day-exploitatie door een andere dreigingsactor

Opvallend is dat CVE-2025-0282 ook is uitgebuit als zero-day door de Silk Typhoon (voorheen Hafnium ), een andere aan China gelinkte cyber-espionagegroep. Dit onderstreept de hoge waarde van deze kwetsbaarheid onder door staten gesponsorde dreigingsactoren.

Mitigatiestrategieën: de dreiging voorblijven

Gezien de snelle evolutie van deze malwarevarianten moeten organisaties onmiddellijk actie ondernemen om hun Ivanti-instanties te beschermen:

  • Voer een update uit naar de nieuwste versie om de kwetsbaarheid CVE-2025-0282 te dichten.
  • Reset de inloggegevens voor zowel bevoorrechte als niet-bevoorrechte accounts.
  • Wissel wachtwoorden af voor alle domein- en lokale accounts.
  • Controleer het toegangsbeleid en trek tijdelijk de rechten in voor de betrokken apparaten.
  • Controleer accounts op tekenen van afwijkende activiteiten.

    • Omdat aanvallers hun technieken voortdurend verfijnen, zijn proactieve verdedigingsmaatregelen essentieel om kritieke infrastructuur en gevoelige gegevens te beschermen.

    Trending

    Meest bekeken

    Bezig met laden...