Il malware RESURGE è al centro dell'attenzione della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. Questo malware è stato individuato come parte di un'attività di sfruttamento di una vulnerabilità di sicurezza ormai risolta presente nei dispositivi Ivanti Connect Secure (ICS). RESURGE integra funzionalità del variante malware SPAWNCHIMERA, ma con comandi distintivi che ne modificano il comportamento, tra cui rootkit, dropper, backdoor, bootkit, proxy e tunneler.

Vulnerabilità Associata

La vulnerabilità associata a questo malware è identificata come CVE-2025-0282, un difetto di overflow del buffer basato su stack che colpisce Ivanti Connect Secure, Policy Secure, e ZTA Gateways, potenzialmente causando l'esecuzione di codice remoto. Le versioni colpite includono Ivanti Connect Secure prima della versione 22.7R2.5, Ivanti Policy Secure prima della versione 22.7R1.2 e Ivanti Neurons per ZTA gateways prima della versione 22.7R2.3.

Utilizzo del Malware SPAWN

Secondo Mandiant, di proprietà di Google, CVE-2025-0282 è stato utilizzato per distribuire l'ecosistema malware SPAWN, costituito da componenti come SPAWNANT, SPAWNMOLE e SPAWNSNAIL. L'uso di SPAWN è stato attribuito a un gruppo di spionaggio cinese noto come UNC5337. Recentemente, JPCERT/CC ha rivelato che il difetto di sicurezza è stato utilizzato per distribuire una versione aggiornata di SPAWN, chiamata SPAWNCHIMERA, che integra tutti i moduli separati in un unico malware monolitico.

Miglioramenti di RESURGE

RESURGE ("libdsupgrade.so"), secondo CISA, rappresenta un miglioramento rispetto a SPAWNCHIMERA con il supporto di tre nuovi comandi che gli consentono di inserirsi in "ld.so.preload", configurare una web shell, manipolare i controlli di integrità e modificare file. Inoltre, consente l'uso delle web shell per il recupero delle credenziali, la creazione di account, il reset delle password e l'escalation dei privilegi.

Scoperte Aggiuntive di CISA

CISA ha anche scoperto due altri artefatti su un dispositivo ICS di un'entità infrastrutturale critica non specificata: una variante di SPAWNSLOTH ("liblogblock.so") contenuta all'interno di RESURGE e un binario Linux ELF a 64-bit personalizzato ("dsmain"). Questo variava i registri del dispositivo Ivanti e conteneva uno script shell open-source per estrarre un'immagine del kernel non compressa da un'immagine kernel compromessa.

Raccomandazioni

È importante sottolineare che CVE-2025-0282 è stato sfruttato anche come zero-day da un altro gruppo di minacce legato alla Cina, Silk Typhoon (precedentemente Hafnium), come rivelato da Microsoft. Questi sviluppi indicano che gli attori delle minacce dietro il malware stanno attivamente affinando e rielaborando le loro tecniche, rendendo essenziale che le organizzazioni aggiornino le loro istanze Ivanti all'ultima versione. Si consiglia di resettare le credenziali degli account privilegiati e non, ruotare le password per tutti gli utenti del dominio e gli account locali, rivedere le politiche di accesso, resettare le credenziali o le chiavi di accesso degli account rilevanti, e monitorare gli account per segni di attività anomala.