A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) lançou luz sobre um novo malware chamado RESURGE, que foi implementado como parte de atividades de exploração direcionadas a uma falha de segurança agora corrigida nos aparelhos Ivanti Connect Secure (ICS).
"O RESURGE contém capacidades da variante de malware SPAWNCHIMERA, incluindo a capacidade de sobreviver a reinicializações; no entanto, o RESURGE possui comandos distintos que alteram seu comportamento", disse a agência.
O arquivo contém funcionalidades de rootkit, dropper, backdoor, bootkit, proxy e tunneler.
A vulnerabilidade de segurança associada à implementação do malware é a
CVE-2025-0282
, uma vulnerabilidade de estouro de buffer baseada em pilha que afeta o Ivanti Connect Secure, Policy Secure e ZTA Gateways, podendo resultar em execução remota de código.
Ela afeta as seguintes versões:
Ivanti Connect Secure antes da versão 22.7R2.5
Ivanti Policy Secure antes da versão 22.7R1.2 e
Ivanti Neurons para ZTA gateways antes da versão 22.7R2.3
De acordo com a Mandiant, de propriedade do Google, a
CVE-2025-0282
foi armada para entregar o que é chamado de ecossistema de malware SPAWN, compreendendo vários componentes como SPAWNANT, SPAWNMOLE e SPAWNSNAIL.
O uso de SPAWN foi atribuído a um grupo de espionagem com nexos na China, apelidado de UNC5337.
No mês passado, a JPCERT/CC revelou que observou o defeito de segurança sendo usado para entregar uma versão atualizada do SPAWN conhecida como SPAWNCHIMERA, que combina todos os módulos díspares mencionados anteriormente em um único malware monolítico, além de incorporar mudanças para facilitar a comunicação interprocessos via sockets de domínio UNIX.
Notavelmente, a variante revisada abrigava um recurso para corrigir a
CVE-2025-0282
a fim de impedir que outros atores maliciosos a explorassem para suas campanhas.
RESURGE ("libdsupgrade.so"), segundo a CISA, é uma melhoria do SPAWNCHIMERA com suporte para três novos comandos:
Inserir-se em "ld.so.preload", configurar um webshell, manipular verificações de integridade e modificar arquivos
Habilitar o uso de webshells para colheita de credenciais, criação de contas, redefinições de senha e escalada de privilégios
Copiar o webshell para o disco de boot em execução da Ivanti e manipular a imagem do coreboot em execução
A CISA também disse que descobriu outros dois artefatos de um dispositivo ICS de uma entidade crítica de infraestrutura não especificada: Uma variante do SPAWNSLOTH ("liblogblock.so") contida dentro do RESURGE e um binário ELF Linux de 64 bits personalizado ("dsmain").
"A [variante do SPAWNSLOTH] interfere nos registros do dispositivo Ivanti," disse.
O terceiro arquivo é um binário embarcado customizado que contém um script de shell de código aberto e um subconjunto de applets da ferramenta de código aberto BusyBox.
O script de shell de código aberto permite a capacidade de extrair uma imagem de kernel descompactada (vmlinux) de uma imagem de kernel comprometida.
É importante notar que a
CVE-2025-0282
também foi explorada como um zero-day por outro grupo de ameaças vinculado à China rastreado como Tufão de Seda (anteriormente Hafnium), divulgado pela Microsoft no início deste mês.
As últimas descobertas indicam que os atores de ameaças por trás do malware estão ativamente refinando e reestruturando seu artesanato, tornando imperativo que as organizações atualizem suas instâncias Ivanti para a versão mais recente.
Como mitigação adicional, é aconselhado reiniciar as credenciais de contas privilegiadas e não privilegiadas, rotacionar senhas para todos os usuários do domínio e todas as contas locais, revisar políticas de acesso para revogar temporariamente privilégios para dispositivos afetados, redefinir credenciais de contas relevantes ou chaves de acesso e monitorar contas para sinais de atividades anômalas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...