Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Cybersecurity and Infrastructure Security Agency (CISA) предупредува дека RESURGE малициозниот софтвер може да остане неактивен на Ivanti уредите

Американската агенција за сајбер безбедност објави нови детали за RESURGE, малициозен имплант кој се користел во напади со нула-ден ранливост преку искористување на CVE-2025-0282 за пробивање на уредите Ivanti Connect Secure.

Ажурирањето се фокусира на латентноста на имплантот која останува незабележана на уредите и неговите „софистицирани техники за избегнување на мрежно откривање и автентикација“ кои овозможуваат тајна комуникација со напаѓачот.

CISA првично го документираше малициозниот софтвер на 28 март минатата година, наведувајќи дека може да преживее рестартирање, да создава веб-шелови за кражба на акредитиви, да креира сметки, да ресетира лозинки и да ги зголемува привилегиите. Според истражувачите од компанијата за одговор на инциденти Mandiant, критичната ранливост CVE-2025-0282 била експлоатирана како нула-ден уште од средината на декември 2024 година од напаѓачка група поврзана со Кина, интерно следена како UNC5221.

Мрежно избегнување

Ажурираниот билтен на CISA обезбедува дополнителни технички информации за RESURGE, малициозна 32-битна Linux Shared Object датотека наречена libdsupgrade.so која била извлечена од компромитиран уред.

Имплантот е опишан како пасивен командно-контролен (C2) имплант со можности за rootkit, bootkit, backdoor, dropper, прокси и тунелирање.

Наместо да испраќа редовни сигнали до C2, тој чека на одредена влезна TLS конекција, избегнувајќи мрежен мониторинг, наведува CISA во ажурираниот документ.

Кога се вчитува во ‘web’ процесот, тој ја хукнува функцијата ‘accept()’ за да ги прегледа дојдовните TLS пакети пред да стигнат до веб-серверот, барајќи специфични обиди за конекција од далечинскиот напаѓач идентификувани со CRC32 TLS fingerprint hashing шема.

Ако отпечатокот не се совпаѓа, сообраќајот се насочува кон легитимниот Ivanti сервер. CISA дополнително објаснува дека напаѓачот користи лажен Ivanti сертификат за да потврди дека комуницира со имплантот, а не со вистинскиот сервер.

Агенцијата нагласува дека сертификатот служи само за автентикација и верификација, а не за енкрипција на комуникацијата. Лажниот сертификат исто така му помага на напаѓачот да избегне откривање преку имитација на легитимниот сервер.

Бидејќи фалсификуваниот сертификат се испраќа нешифриран преку интернет, CISA наведува дека одбранбените системи можат да го користат како мрежен потпис за откривање активна компромитација.

По верификација на отпечатокот и автентикација со малициозниот софтвер, напаѓачот воспоставува безбедна далечинска сесија преку Mutual TLS со користење на Elliptic Curve протокол.

„Статичката анализа покажува дека RESURGE имплантот ќе побара клуч од далечинскиот напаѓач за енкрипција и ќе го верификува со хард-кодиран EC Certificate Authority (CA) клуч,“ наведува CISA.

Со имитирање на легитимен TLS/SSH сообраќај, имплантот постигнува скриеност и перзистентност, вели американската агенција за сајбер безбедност.

Друг анализиран фајл е варијанта на SpawnSloth малициозниот софтвер под името liblogblock.so, содржан во RESURGE имплантот. Неговата главна цел е манипулација со логови за да се сокријат малициозните активности на компромитираните уреди.

Третиот фајл анализиран од CISA е dsmain, скрипта за екстракција на кернелот која го вклучува open-source скриптот ‘extract_vmlinux.sh’ и BusyBox колекцијата на Unix/Linux алатки.

liblogblock.so - 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104
libdsupgrade.so - 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda
dsmain - b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d

Тоа му овозможува на RESURGE да ги декриптира, модифицира и повторно енкриптира firmware сликите на coreboot и да манипулира со содржината на датотечниот систем за перзистентност на ниво на подигање.

„Ажурираната анализа на Cybersecurity and Infrastructure Security Agency покажува дека RESURGE може да остане латентен на системите сè додека далечински актер не се обиде да се поврзе со компромитираниот уред“, наведува агенцијата. Поради ова, малициозниот имплант „може да биде неактивен и незабележан на Ivanti Connect Secure уредите и останува активна закана“.

CISA препорачува системските администратори да ги користат ажурираните индикатори за компромитација (IoC) за да откријат латентни RESURGE инфекции и да ги отстранат од Ivanti уредите.

Извори:

  • Bleeping Computer – CISA warns that RESURGE malware can be dormant on Ivanti devices Bleeping Computer