Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) RESURGE-Malware

RESURGE-Malware

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:
Deutsch

Forscher haben eine neue Malware-Variante namens RESURGE entdeckt, die bei Angriffen eingesetzt wurde, die eine inzwischen geschlossene Sicherheitslücke in Ivanti Connect Secure (ICS)-Geräten ausnutzten. Diese hochentwickelte Malware baut auf den Fähigkeiten der Malware-Variante SPAWNCHIMERA auf, führt jedoch einzigartige Befehle ein, die ihr Verhalten verändern.

Ein vielseitiges und bedrohliches Toolkit

RESURGE ist nicht nur ein einfacher Exploit – es verfügt über eine Reihe von Funktionen, darunter Rootkit, Dropper, Backdoor, Bootkit, Proxy und Tunneler. Diese Fähigkeiten machen es zu einem hervorragenden Werkzeug für Angreifer, die ihre Persistenz und Kontrolle über kompromittierte Systeme aufrechterhalten wollen.

Die ausgenutzte Sicherheitslücke: CVE-2025-0282

Die Malware nutzt CVE-2025-0282 aus, eine stapelbasierte Pufferüberlauf-Sicherheitslücke, die mehrere Ivanti-Produkte betrifft, darunter:

  • Ivanti Connect Secure (vor Version 22.7R2.5)
  • Ivanti Policy Secure (vor Version 22.7R1.2)
  • Ivanti Neurons für ZTA-Gateways (vor Version 22.7R2.3)

Dieser Fehler ermöglicht die Remotecodeausführung und erlaubt Angreifern, hochentwickelte Schadsoftware wie RESURGE einzusetzen.

Das SPAWN-Malware-Ökosystem

Cybersicherheitsforscher haben die Ausnutzung von CVE-2025-0282 mit dem Schadsoftware-Ökosystem SPAWN in Verbindung gebracht, das Komponenten wie die folgenden umfasst:

  • SPAWNANT
  • SPAWNMOLE
  • Laichschnecke

Dieses Ökosystem wird UNC5337 zugeschrieben, einer mit China verbundenen Spionagegruppe, die für Cyberspionageoperationen bekannt ist.

SPAWNCHIMERA: Die weiterentwickelte Bedrohung

Eine bemerkenswerte Entwicklung in der Angriffskette ist die SPAWNCHIMERA-Variante, die die einzelnen SPAWN-Module zu einer einzigen monolithischen Malware konsolidiert. Diese Version führt eine wesentliche Verbesserung ein:

  • Interprozesskommunikation über UNIX-Domain-Sockets
  • Patchen von CVE-2025-0282, um zu verhindern, dass konkurrierende Bedrohungsakteure dieselbe Schwachstelle ausnutzen

RESURGE: Ein Schritt weiter als SPAWNCHIMERA

Die neueste Iteration, RESURGE ('libdsupgrade.so'), erweitert SPAWNCHIMERA um drei zusätzliche Befehle:

  • Persistenz und Systemmanipulation : Es fügt sich in „ld.so.preload“ ein, richtet eine Web-Shell ein, ändert Integritätsprüfungen und modifiziert Dateien.
  • Ausnutzung von Anmeldeinformationen und Privilegien – Ermöglicht die Nutzung einer Web-Shell zum Sammeln von Anmeldeinformationen, Erstellen von Konten, Zurücksetzen von Passwörtern und Erhöhen von Privilegien.
  • Boot Persistence – Kopiert die Web-Shell auf die Ivanti-Startdiskette und ändert das Coreboot-Image, um einen langfristigen Zugriff sicherzustellen.

Weitere Erkenntnisse: SPAWNSLOTH und DSMain

Forscher haben außerdem zwei weitere Malware-Artefakte von einem kompromittierten ICS-Gerät innerhalb der kritischen Infrastruktur identifiziert:

  • SPAWNSLOTH ('liblogblock.so') – Eine in RESURGE eingebettete Variante, die Ivanti-Geräteprotokolle manipuliert, um Spuren zu verwischen.
  • DSMain – Eine benutzerdefinierte 64-Bit-Linux-ELF-Binärdatei, die ein Open-Source-Shell-Skript und Komponenten von BusyBox enthält und so die Kernel-Extraktion und weitere Systemkompromittierungen ermöglicht.

Zero-Day-Ausnutzung durch einen anderen Bedrohungsakteur

Bemerkenswerterweise wurde CVE-2025-0282 auch von Silk Typhoon (ehemals Hafnium ), einer weiteren mit China verbundenen Cyberspionagegruppe, als Zero-Day-Schwachstelle ausgenutzt. Dies unterstreicht den hohen Stellenwert dieser Schwachstelle für staatlich geförderte Bedrohungsakteure.

Minderungsstrategien: Der Bedrohung immer einen Schritt voraus

Angesichts der rasanten Entwicklung dieser Malware-Varianten müssen Unternehmen umgehend Maßnahmen zum Schutz ihrer Ivanti-Instanzen ergreifen:

  • Patch auf die neueste Version, um die Sicherheitslücke CVE-2025-0282 zu schließen.
  • Setzen Sie die Anmeldeinformationen sowohl für privilegierte als auch für nicht privilegierte Konten zurück.
  • Rotieren Sie die Passwörter für alle Domänen- und lokalen Konten.
  • Überprüfen Sie die Zugriffsrichtlinien und entziehen Sie den betroffenen Geräten vorübergehend die Berechtigungen.
  • Überwachen Sie Konten auf Anzeichen ungewöhnlicher Aktivitäten.

    • Da Angreifer ihre Techniken ständig verfeinern, sind proaktive Abwehrmaßnahmen zum Schutz kritischer Infrastrukturen und sensibler Daten unerlässlich.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...