Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало новые подробности о RESURGE — вредоносном имплантате, используемом в атаках с использованием уязвимостей нулевого дня (zero-day), эксплуатирующих CVE-2025-0282 для взлома устройств Ivanti Connect Secure.
Обновление сосредоточено на незаметном латентном состоянии имплантата на устройствах, а также на его «сложных методах уклонения на сетевом уровне и методах аутентификации», которые обеспечивают скрытую связь с атакующим.
CISA впервые задокументировало это вредоносное ПО 28 марта прошлого года, заявив, что оно способно переживать перезагрузки, создавать веб-шеллы для кражи учетных данных, создавать учетные записи, сбрасывать пароли и повышать привилегии.
По данным исследователей из компании по реагированию на инциденты Mandiant, критическая уязвимость CVE-2025-0282 эксплуатировалась как уязвимость нулевого дня с середины декабря 2024 года злоумышленником, связанным с Китаем и отслеживаемым внутри компании как UNC5221.
Уклонение на сетевом уровне
В обновленном бюллетене CISA представлена дополнительная техническая информация о RESURGE — вредоносном 32-битном файле общей библиотеки Linux с именем libdsupgrade.so, извлеченном из скомпрометированного устройства.
Имплантат описывается как пассивный имплантат командно-контрольного центра (C2) с возможностями руткита, буткита, бэкдора, дроппера, проксирования и туннелирования.
Вместо того чтобы отправлять сигналы на C2, он бесконечно ожидает определенного входящего TLS-соединения, уклоняясь от сетевого мониторинга, говорится в обновленном документе CISA.
При загрузке в рамках процесса «web» он перехватывает функцию «accept()» для проверки входящих TLS-пакетов до того, как они достигнут веб-сервера, и ищет специфические попытки соединения от удаленного злоумышленника, которые идентифицируются с использованием схемы хеширования отпечатков TLS CRC32.
Если отпечаток не совпадает, трафик направляется на легитимный сервер Ivanti. CISA далее подробно описывает механизм аутентификации Rusrge, заявляя, что злоумышленник также использует поддельный сертификат Ivanti, чтобы гарантировать, что он взаимодействует именно с имплантатом, а не с веб-сервером Ivanti.
Агентство подчеркивает, что цель сертификата заключается исключительно в аутентификации и верификации, поскольку он не используется для шифрования связи. Кроме того, поддельный сертификат помогает злоумышленнику уклоняться от обнаружения, выдавая себя за легитимный сервер.
Поскольку подделанный сертификат отправляется в незашифрованном виде через Интернет, CISA заявляет, что защитники могут использовать его в качестве сетевой сигнатуры для обнаружения активного компрометации.
После проверки отпечатка и аутентификации с вредоносным ПО злоумышленник устанавливает защищенный удаленный доступ к имплантату с использованием сеанса Mutual TLS, зашифрованного протоколом эллиптической кривой.
«Статический анализ показывает, что имплантат RESURGE запрашивает ключ EC удаленных акторов для использования в шифровании, а также проверяет его с помощью жестко закодированного ключа Центра сертификации (CA) EC», — сообщает CISA.
Имитируя легитимный трафик TLS/SSH, имплантат достигает скрытности и постоянства, заявляет американское агентство по кибербезопасности.
Другой проанализированный файл — это вариант вредоносного ПО SpawnSloth, использующий имя liblogblock.so и содержащийся в имплантате RESURGE. Его основная цель — манипулирование журналами для сокрытия вредоносной активности на скомпрометированных устройствах.
Третий файл, проанализированный CISA, — это dsmain, скрипт извлечения ядра, который встраивает общедоступный скрипт ‘extract_vmlinux.sh’ и коллекцию утилит BusyBox для Unix/Linux.
liblogblock.so - 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104
libdsupgrade.so - 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda
dsmain - b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301dОн позволяет RESURGE расшифровывать, изменять и повторно шифровать образы прошивки coreboot и манипулировать содержимым файловой системы для обеспечения постоянства на уровне загрузки.
«Обновленный анализ CISA показывает, что RESURGE может оставаться латентным в системах до тех пор, пока удаленный злоумышленник не попытается подключиться к скомпрометированному устройству», — отмечает агентство. Из-за этого вредоносный имплантат «может находиться в спящем режиме и оставаться необнаруженным на устройствах Ivanti Connect Secure и представлять собой активную угрозу».
CISA рекомендует системным администраторам использовать обновленные индикаторы компрометации (IoC) для обнаружения спящих инфекций RESURGE и их удаления с устройств Ivanti.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
