Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) RESURGE Malware

RESURGE Malware

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:
Português

Pesquisadores descobriram um novo tipo de malware, o RESURGE, que foi implantado em ataques explorando uma vulnerabilidade de segurança agora corrigida em appliances Ivanti Connect Secure (ICS). Este malware sofisticado se baseia nas capacidades da variante de malware SPAWNCHIMERA, mas introduz comandos exclusivos que modificam seu comportamento.

Um Kit de Ferramentas Versátil e Ameaçador

RESURGE não é apenas um simples exploit — ele possui uma gama de funcionalidades, incluindo atuar como rootkit, dropper, backdoor, bootkit, proxy e tunneler. Essas capacidades o tornam uma ferramenta formidável para invasores que buscam manter persistência e controle sobre sistemas comprometidos.

A Vulnerabilidade Explorada: CVE-2025-0282

O malware aproveita o CVE-2025-0282, uma vulnerabilidade de estouro de buffer baseada em pilha que afeta vários produtos Ivanti, incluindo:

  • Ivanti Connect Secure (antes da versão 22.7R2.5)
  • Ivanti Policy Secure (antes da versão 22.7R1.2)
  • Ivanti Neurons para ZTA Gateways (antes da versão 22.7R2.3)

Essa falha permite a execução remota de código, permitindo que invasores implantem malware sofisticado como o RESURGE.

O Ecossistema do Malware SPAWN

Pesquisadores de segurança cibernética vincularam a exploração do CVE-2025-0282 ao ecossistema de malware SPAWN, que inclui componentes como:

  • SPAWNANT
  • SPAWNMOLE
  • SPAWNSNAIL

Esse ecossistema foi atribuído ao UNC5337, um grupo de espionagem com ligação à China conhecido por operações de ciberespionagem.

SPAWNCHIMERA: A Ameaça Evoluída

Um desenvolvimento notável na cadeia de ataque é a variante SPAWNCHIMERA, que consolida os módulos SPAWN individuais em um único malware monolítico. Esta versão introduz uma melhoria significativa:

  • Comunicação entre processos via soquetes de domínio UNIX
  • Aplicação de patch no CVE-2025-0282 para evitar que agentes de ameaças rivais aproveitem a mesma vulnerabilidade

RESURGE: Um Passo além do SPAWNCHIMERA

A última iteração, RESURGE ('libdsupgrade.so'), expande o SPAWNCHIMERA com três comandos adicionais:

  • Persistência e manipulação do sistema : Ele se insere em 'ld.so.preload', configura um shell da Web, altera verificações de integridade e modifica arquivos.
  • Exploração de credenciais e privilégios – P{ermite o uso do shell da Web para coleta de credenciais, criação de contas, redefinições de senhas e escalonamento de privilégios.
  • Persistência de inicialização – Copia o shell da Web para o disco de inicialização em execução do Ivanti e modifica a imagem do coreboot para garantir acesso de longo prazo.

Descobertas Adicionais: O SPAWNSLOTH e o DSMain

Os pesquisadores também identificaram dois artefatos de malware adicionais de um dispositivo ICS comprometido em uma infraestrutura crítica:

  • SPAWNSLOTH ('liblogblock.so') – Uma variante incorporada ao RESURGE que manipula logs de dispositivos Ivanti para cobrir rastros.
  • DSMain – Um binário Linux ELF personalizado de 64 bits contendo um script de shell de código aberto e componentes do BusyBox, permitindo extração de kernel e maior comprometimento do sistema.

Exploração de Dia Zero por Outro Agente de Ameaça

Notavelmente, CVE-2025-0282 também foi explorado como um zero-day pelo Silk Typhoon (anteriormente Hafnium), outro grupo de ciberespionagem vinculado à China. Isso ressalta o alto valor dessa vulnerabilidade entre os atores de ameaças patrocinados pelo estado.

Estratégias de Mitigação: Mantendo-se à Frente da Ameaça

Dada a rápida evolução dessas variantes de malware, as organizações devem tomar medidas imediatas para proteger suas instâncias Ivanti:

  • Patch para a versão mais recente para fechar a vulnerabilidade CVE-2025-0282.
  • Redefina as credenciais para contas privilegiadas e não privilegiadas.
  • Alterne as senhas de todas as contas locais e de domínio.
  • Revise as políticas de acesso e revogue temporariamente os privilégios dos dispositivos afetados.
  • Monitore as contas em busca de quaisquer sinais de atividade anômala.

Com os invasores refinando ativamente suas técnicas, medidas de defesa proativas são essenciais para proteger a infraestrutura crítica e os dados confidenciais.

Tendendo

Mais visto

Carregando...