Nova variante de malware RESURGE explora falha crítica em dispositivos Ivanti

Uma nova variante de malware chamada RESURGE foi descoberta pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA). O malware está explorando uma vulnerabilidade crítica em dispositivos Ivanti Connect Secure, utilizando uma falha de estouro de buffer baseado em pilha, identificada como CVE-2025-0282.

Essa falha permite a criação de web shells, manipulação de arquivos do sistema e persistência mesmo após reinicializações. Segundo a CISA, o RESURGE compartilha funções com o malware SPAWNCHIMERA, mas traz comandos inéditos que ampliam sua furtividade e persistência.

Entre suas capacidades, destacam-se:

• Inserção de web shells para coleta de credenciais,

• Modificação de imagens coreboot para manter acesso contínuo,

• Evasão de verificações de integridade do sistema.

  
  

O RESURGE também se injeta em processos legítimos, cria túneis SSH para comunicação com servidores de comando e controle (C2), e copia componentes maliciosos para o disco de inicialização dos dispositivos Ivanti. Além disso, o malware é capaz de executar comandos arbitrários, como redefinição de senhas e elevação de privilégios.

O malware foi encontrado junto a uma variante da ferramenta de adulteração de logs SPAWNSLOTH e um binário personalizado chamado “dsmain”, que utiliza utilitários do BusyBox. Esse binário permite que hackers descriptografem e reempacotem imagens coreboot com cargas maliciosas. A análise também identificou o uso da ferramenta de código aberto extract_vmlinux.sh para modificar imagens do kernel, o que dificulta ainda mais a detecção.

A vulnerabilidade CVE-2025-0282 foi adicionada ao Catálogo de Vulnerabilidades Conhecidamente Exploradas da CISA em 8 de janeiro de 2025 e afeta os dispositivos Ivanti Connect Secure, Policy Secure e ZTA Gateways. Hackers utilizam essa falha para obter acesso inicial e, em seguida, implantar todo o conjunto de ferramentas do RESURGE.

A CISA recomenda ações imediatas, incluindo:

• Redefinição completa (factory reset) dos dispositivos comprometidos, utilizando imagens limpas em ambientes em nuvem,

• Redefinição de todas as credenciais, incluindo a conta krbtgt (usada no gerenciamento de tickets Kerberos), com replicação dupla,

• Redução ou revogação temporária de privilégios de dispositivos afetados,

• Monitoramento de contas administrativas para atividades não autorizadas.

A agência também disponibilizou regras de detecção YARA e SIGMA, bem como um relatório detalhado de análise de malware (MAR-25993211.R1.V1.CLEAR). Outras orientações incluem desativar serviços desnecessários, impor o uso de senhas fortes e escanear mídias removíveis. A CISA reforça a importância da consciência situacional frente às ameaças em evolução, recomendando o uso dos padrões do NIST para resposta a incidentes com malware.

Usuários são orientados a reportar incidentes ao Centro de Operações da CISA ou enviar amostras de malware para a plataforma Malware Nextgen.

Via - ISM