A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) divulgou novos detalhes sobre o RESURGE, um implante malicioso usado em ataques zero-day que exploram a vulnerabilidade
CVE-2025-0282
para comprometer dispositivos Ivanti Connect Secure.
A atualização destaca a capacidade do implante de permanecer indetectável nos aparelhos, além de suas “técnicas sofisticadas de evasão em nível de rede e autenticação”, que permitem comunicação clandestina com o invasor.
O malware foi documentado pela primeira vez pela CISA em 28 de março do ano passado, apresentando recursos como persistência após reinicializações, criação de webshells para roubo de credenciais, geração de contas, redefinição de senhas e escalonamento de privilégios.
Pesquisadores da empresa de resposta a incidentes Mandiant afirmam que a vulnerabilidade crítica
CVE-2025-0282
vem sendo explorada como zero-day desde meados de dezembro de 2024 por um grupo vinculado à China, identificado internamente como UNC5221.
O boletim atualizado da CISA traz informações técnicas adicionais sobre o RESURGE, um arquivo malicioso Linux Shared Object de 32 bits, chamado libdsupgrade.so, extraído de um dispositivo comprometido.
Esse implante é descrito como um malware passivo de command-and-control (C2), com funcionalidades de rootkit, bootkit, backdoor, dropper, proxy e tunneling.
Diferentemente de enviar sinais regulares para o servidor C2, o RESURGE aguarda indefinidamente uma conexão TLS específica originada externamente, evitando assim o monitoramento de rede, conforme explica o documento da CISA.
Quando carregado no processo ‘web’, o implante intercepta a função ‘accept()’ para inspecionar os pacotes TLS recebidos antes que cheguem ao servidor web, buscando conexões específicas do invasor remoto, identificadas por meio do esquema de hashing CRC32 aplicado à impressão digital TLS.
Se a impressão digital não corresponder, o tráfego é encaminhado ao servidor legítimo da Ivanti.
A CISA esclarece que o invasor utiliza um certificado falso da Ivanti para garantir que está se comunicando com o implante e não com o servidor web oficial.
A agência ressalta que esse certificado falso é usado apenas para autenticação e verificação, não sendo responsável pela criptografia da comunicação.
Além disso, o certificado ajuda o invasor a evitar a detecção ao se passar pelo servidor legítimo.
Como o certificado forjado é transmitido sem criptografia, a CISA indica que defensores podem utilizá-lo como assinatura de rede para identificar uma invasão ativa.
Após a validação da impressão digital e autenticação, o invasor estabelece uma conexão remota segura via Mutual TLS, usando criptografia baseada no protocolo Elliptic Curve.
“Análises estáticas indicam que o implante RESURGE solicita a chave EC do atacante para uso na criptografia e a verifica com uma chave de Autoridade Certificadora EC hard-coded”, explica a CISA.
Ao mimetizar tráfego legítimo TLS/SSH, o implante alcança furtividade e persistência, segundo a agência.
Outro arquivo identificado faz parte do RESURGE e é uma variante do malware SpawnSloth, chamado liblogblock.so, cuja função principal é a manipulação de logs para ocultar atividades maliciosas nos dispositivos comprometidos.
Um terceiro arquivo analisado é o dsmain, um script de extração do kernel que incorpora o script open-source extract_vmlinux.sh e as utilidades Unix/Linux da coleção BusyBox.
Esse script permite que o RESURGE descriptografe, modifique e recripte imagens de firmware coreboot, além de manipular o sistema de arquivos para garantir persistência no nível de boot.
“A análise atualizada da CISA mostra que o RESURGE pode permanecer latente nos sistemas até que um invasor remoto tente estabelecer conexão com o dispositivo comprometido”, observa a agência.
Por isso, o implante malicioso “pode estar dormente e indetectável em dispositivos Ivanti Connect Secure, mantendo-se uma ameaça ativa.”
A CISA recomenda que administradores de sistemas utilizem os indicadores de compromisso (IoCs) atualizados para identificar infecções latentes do RESURGE e removê-las dos dispositivos Ivanti.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...