Die US-Cybersicherheitsbehörde CISA hat neue Details zur RESURGE-Malware veröffentlicht, die unerkannt auf Ivanti Connect Secure-Geräten verbleiben kann. Die Schadsoftware nutzt ausgefeilte Techniken zur Verschleierung und Authentifizierung für verdeckte Kommunikation mit Angreifern.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat aktuelle Erkenntnisse zur RESURGE-Malware dokumentiert, einem böswilligen Code, der bei Angriffen auf die Sicherheitslücke CVE-2025-0282 in Ivanti Connect Secure-Appliances zum Einsatz kommt.
Das Update konzentriert sich auf die besondere Gefährlichkeit des Implants: Es kann auf Systemen unbemerkt im Ruhezustand verbleiben und nutzt dabei hochentwickelte Techniken zur Netzwerk-Verschleierung und Authentifizierung, um verdeckt mit den Angreifern zu kommunizieren.
ERST ENTDECKT – LANGE UNBEKANNT
Mandiant-Forscher enthüllten, dass die kritische Sicherheitslücke CVE-2025-0282 bereits seit Mitte Dezember 2024 als Zero-Day ausgenutzt wird – verantwortlich ist eine chinesische Hackergruppe, die intern als UNC5221 bekannt ist.
Bei RESURGE handelt es sich um eine 32-Bit-Linux-Systemdatei namens libdsupgrade.so mit beeindruckender Funktionalität: Das Implant fungiert als passives Command-and-Control-System mit Root-Zugriff, Bootkit-Fähigkeiten, Backdoor-Funktionen und Tunneling-Möglichkeiten.
DIE RAFFINIERTE TARNUNG
Statt aktiv nach dem C2-Server zu “rufen”, wartet RESURGE passiv und unbegrenzt auf eine spezifische eingehende TLS-Verbindung. Dies macht das Malware-Implant für herkömmliche Netzwerk-Überwachung praktisch unsichtbar. Wenn die Datei unter dem Web-Prozess lädt, manipuliert sie die Accept-Funktion und analysiert eingehende TLS-Pakete – auf der Suche nach speziellen Verbindungsversuchen des Angreifers, die über CRC32-TLS-Fingerprint-Hashing identifiziert werden.
Trifft der Fingerprint nicht zu, leitet das System den Traffic zum legitimen Ivanti-Server weiter. Zusätzlich nutzen die Angreifer ein gefälschtes Ivanti-Zertifikat zur Authentifizierung – es dient allerdings nicht der Verschlüsselung, sondern nur zur Verifikation und zur Täuschung von Erkennungssystemen. Genau hier liegt eine Schwachstelle: Das unverschlüsselt übertragene Zertifikat könnte von Sicherheitsteams als Netzwerk-Signatur zur Früherkennung aktiver Kompromittierungen genutzt werden.
NACH ERFOLGREICHER AUTHENTIFIZIERUNG
Sind diese Hürden überwunden, etabliert sich eine sichere Remote-Session mit Mutual-TLS-Verschlüsselung basierend auf Elliptic Curve-Kryptografie. CISA dokumentiert: Das Implant fordert den EC-Schlüssel des Angreifers an und verifiziert ihn mit einem hartcodierten EC-Zertifikat.
Durch die Imitation von legitimen TLS- und SSH-Traffic erreicht RESURGE beeindruckende Persistenz und Tarnung.
WEITERE KOMPONENTEN DES ANGRIFFS
Die Analyse offenbarte eine Variante des SpawnSloth-Malware unter dem Namen liblogblock.so, die Log-Daten manipuliert und Spuren verwischt. Eine dritte Komponente namens dsmain ist ein Kernel-Extraktions-Script, das die Open-Source-Routine extract_vmlinux.sh enthält und mit BusyBox-Utilities arbeitet. Es ermöglicht RESURGE, Coreboot-Firmware zu modifizieren und Boot-Persistenz zu schaffen.
CISA unterstreicht die zentrale Bedrohung: “RESURGE kann auf Systemen latent verbleiben, bis ein Angreifer tatsächlich eine Verbindung versucht.” Deshalb können die Malware-Implants auf Ivanti Connect Secure-Geräten unentdeckt schlafend lauern und stellen weiterhin eine aktive Gefahr dar.
Die Behörde empfiehlt Administratoren, die aktualisierten Indikatoren für Kompromittierungen (IoCs) zur Erkennung und Entfernung schlafender RESURGE-Infektionen zu nutzen.
Quelle: BleepingComputer