RESURGE‑malware kan forblive skjult på Ivanti‑enheder
Den amerikanske cybersikkerhedsmyndighed CISA har offentliggjort nye oplysninger om RESURGE, et ondsindet implantat anvendt ved 0-dagsudnyttelse af CVE‑2025‑0282 i Ivanti Connect Secure‑enheder. Opdateringen fokuserer på malwarets evne til at forblive skjult samt dets netværksmæssige teknik til at modtage kommandoer uden at udløse almindelige overvågningsmekanismer.
Det skriver Bleeping Computer.
CISA dokumenterede første gang implantatet i marts 2025 og beskrev her dets evne til at overleve genstarter, oprette webshells, nulstille adgangskoder og opnå privilegieeskalering. Den opdaterede analyse tilføjer flere detaljer om dens kommunikationsmønstre og vedholdenhed.
Udnyttelse siden 2024
Ifølge Mandiant blev CVE‑2025‑0282 udnyttet som 0-dag siden midten af december 2024 af en aktør, som firmaet internt sporer som UNC5221, og som forbindes med Kina. Sårbarheden rammer Ivanti Connect Secure‑gateways, der ofte er eksponerede og kritiske for organisationsnetværk.
RESURGE er identificeret som et 32‑bit Linux Shared Object opkaldt libdsupgrade.so, udtrukket fra en kompromitteret enhed. CISA beskriver det som et passivt C2‑implantat med:
- rootkit‑funktionalitet
- boot‑level persistens
- backdoor‑adgang
- proxy‑ og tunneleringsfunktioner
- dropper‑funktion til yderligere komponenter
I modsætning til traditionelle backdoors benytter RESURGE ingen periodisk beaconing. I stedet venter det på en helt bestemt indgående TLS‑forbindelse, hvilket reducerer synligheden i netværkslogs og overvågningssystemer.
Når implantatet afvikles under processen web, hooker det systemkaldet accept() og undersøger indgående TLS‑pakker, før de når webserveren. Det benytter en CRC32‑baseret fingerprintmetode til at identificere aktørens forbindelsesforsøg. Kun ved match videresendes sessionen til implantatet; ellers går trafikken videre til den legitime Ivanti‑tjeneste.
Brug af falsk Ivanti‑certifikat
CISA beskriver, at aktøren anvender et falsk Ivanti‑certifikat til autentifikation. Certifikatet bruges ikke til kryptering, det sendes ukrypteret, fungerer udelukkende som verifikator og kan bruges af forsvarere som netværkssignatur til identifikation af kompromittering
Efter autentifikation etableres en Mutual TLS‑forbindelse baseret på elliptiske kurver. Implantatet validerer aktørens EC‑nøgle med en hardkodet CA‑nøgle i RESURGE‑koden. Kommunikationen fremstår som legitim TLS/SSH‑trafik, hvilket øger stealth‑faktoren betydeligt.
Yderligere komponenter: logmanipulation og firmwarepersistens
CISA analyserede også to relaterede filer:
- liblogblock.so — variant af SpawnSloth‑malware, anvendt til log‑manipulation med henblik på at skjule ondsindet aktivitet.
SHA256: 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104 - dsmain — script til udpakning og håndtering af kerne‑komponenter, indeholder extract_vmlinux.sh og BusyBox‑værktøjer.
SHA256: b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d
RESURGE kan via disse komponenter dekryptere, ændre og re‑enkryptere coreboot‑firmware samt manipulere filsystemet. Det understøtter persistens på boot‑niveau, hvilket gør rensning vanskelig.
Sovende, men fortsat aktiv trussel
CISA vurderer, at implantatet kan forblive fuldstændigt inaktivt, indtil en aktør forsøger at etablere kontakt:
”RESURGE kan forblive latent på systemer, indtil en fjernaktør forsøger at forbinde.”
Derfor kan enheder fremstå rene, selvom implantatet stadig er til stede.
CISA opfordrer systemadministratorer til at:
- anvende de nyeste IoC’er
- kontrollere for spor af dormant aktivitet
- fjerne implantatet fra berørte Ivanti‑enheder
- gennemgå TLS‑trafik for mønstre, der matcher de falske certifikater
CISA betegner RESURGE som en fortsat aktiv trussel mod sårbare Ivanti‑installationer.