RESURGE Malware

Исследователи обнаружили новый штамм вредоносного ПО RESURGE, который был развернут в атаках, эксплуатирующих уже исправленную уязвимость безопасности в устройствах Ivanti Connect Secure (ICS). Это сложное вредоносное ПО основывается на возможностях варианта вредоносного ПО SPAWNCHIMERA, но вводит уникальные команды, которые изменяют его поведение.

Универсальный и опасный набор инструментов

RESURGE — это не просто эксплойт, он обладает рядом функций, включая работу в качестве руткита, дроппера, бэкдора, буткита, прокси и туннелера. Эти возможности делают его грозным инструментом для злоумышленников, желающих сохранить устойчивость и контроль над скомпрометированными системами.

Эксплуатируемая уязвимость: CVE-2025-0282

Вредоносная программа использует уязвимость CVE-2025-0282, связанную с переполнением стекового буфера, которая затрагивает несколько продуктов Ivanti, включая:

• Ivanti Connect Secure (до версии 22.7R2.5)
• Ivanti Policy Secure (до версии 22.7R1.2)
• Нейроны Иванти для шлюзов ZTA (до версии 22.7R2.3)

Эта уязвимость позволяет удаленно выполнять код, что позволяет злоумышленникам развертывать сложное вредоносное ПО, такое как RESURGE.

Экосистема вредоносного ПО SPAWN

Исследователи кибербезопасности связали эксплуатацию CVE-2025-0282 с экосистемой вредоносного ПО SPAWN, которая включает в себя такие компоненты, как:

• СПАУНТ
• СПАУНМОУЛ
• ИСПАНУЛИТКА

Эту экосистему приписывают UNC5337 — китайской шпионской группе, известной своими операциями по кибершпионажу.

SPAWNCHIMERA: Развитая угроза

Заметным развитием в цепочке атак является вариант SPAWNCHIMERA, который объединяет отдельные модули SPAWN в единое монолитное вредоносное ПО. Эта версия вводит значительное улучшение:

• Межпроцессное взаимодействие через доменные сокеты UNIX
• Исправление CVE-2025-0282 для предотвращения использования той же уязвимости конкурирующими злоумышленниками

RESURGE: шаг за пределы SPAWNCHIMERA

Последняя версия, RESURGE ('libdsupgrade.so'), расширяет SPAWNCHIMERA тремя дополнительными командами:

• Устойчивость и манипуляция системой : внедряется в «ld.so.preload», устанавливает веб-оболочку, изменяет проверки целостности и изменяет файлы.
• Эксплуатация учетных данных и привилегий — позволяет использовать веб-оболочку для сбора учетных данных, создания учетных записей, сброса паролей и повышения привилегий.
• Сохранение загрузки — копирует веб-оболочку на загрузочный диск Ivanti и изменяет образ основной загрузки для обеспечения долгосрочного доступа.

Дополнительные выводы: SPAWNSLOTH и DSMain

Исследователи также выявили два дополнительных вредоносных артефакта из скомпрометированного устройства ICS в критической инфраструктуре:

• SPAWNSLOTH ('liblogblock.so') – вариант, встроенный в RESURGE, который манипулирует журналами устройств Ivanti, чтобы замести следы.
• DSMain – пользовательский 64-битный двоичный файл Linux ELF, содержащий скрипт оболочки с открытым исходным кодом и компоненты из BusyBox, позволяющие извлекать ядро и осуществлять дальнейший взлом системы.

Эксплуатация уязвимости нулевого дня другим злоумышленником

Примечательно, что CVE-2025-0282 также эксплуатировалась как нулевой день Silk Typhoon (ранее Hafnium ), еще одной связанной с Китаем группой кибершпионажа. Это подчеркивает высокую ценность этой уязвимости среди спонсируемых государством субъектов угроз.

Стратегии смягчения последствий: опережение угрозы

Учитывая быстрое развитие этих вредоносных программ, организациям необходимо принять немедленные меры для защиты своих экземпляров Ivanti:

• Установите патч до последней версии, чтобы закрыть уязвимость CVE-2025-0282.
• Сброс учетных данных как для привилегированных, так и для непривилегированных учетных записей.
• Поменяйте пароли для всех доменных и локальных учетных записей.

• Пересмотрите политики доступа и временно отзовите привилегии для затронутых устройств.

• Монитор фиксирует любые признаки аномальной активности.

Поскольку злоумышленники активно совершенствуют свои методы, для защиты критически важной инфраструктуры и конфиденциальных данных необходимы превентивные меры защиты.