Das aktualisierte Bulletin von CISA liefert zusätzliche technische Informationen zu RESURGE, einer schädlichen 32-Bit-Linux-Shared-Object-Datei mit dem Namen libdsupgrade.so, die von einem kompromittierten Gerät extrahiert wurde. Die Behörde beschreibt das Implantat als passives Command-and-Control-Implantat (C2) mit Funktionen als Rootkit, Bootkit, Backdoor, Dropper sowie für Proxying und Tunneling.
Statt aktiv zur C2-Infrastruktur zu funken, wartet RESURGE laut CISA unbegrenzt auf eine bestimmte eingehende TLS-Verbindung und entgeht so der Netzwerküberwachung. Wird es unter dem Prozess “web” geladen, klinkt es sich in die Funktion “accept()” ein, um eingehende TLS-Pakete zu prüfen, bevor sie den Webserver erreichen. Dabei sucht es nach bestimmten Verbindungsversuchen eines entfernten Angreifers, die über das CRC32-TLS-Fingerprint-Hashverfahren identifiziert werden. Passt der Fingerabdruck nicht, wird der Datenverkehr an den legitimen Ivanti-Server weitergeleitet.
Zum Authentifizierungsmechanismus führt CISA aus, dass der Angreifer zudem ein gefälschtes Ivanti-Zertifikat verwendet, um sicherzustellen, dass er mit dem Implantat und nicht mit dem Ivanti-Webserver interagiert. Das Zertifikat dient ausschließlich der Authentifizierung und Verifizierung, nicht der Verschlüsselung der Kommunikation; zugleich hilft es dem Akteur, durch die Nachahmung des legitimen Servers einer Entdeckung zu entgehen. Da das gefälschte Zertifikat unverschlüsselt über das Internet übertragen wird, könnten Verteidiger es laut CISA als Netzwerksignatur nutzen, um eine aktive Kompromittierung zu erkennen.
Nach Fingerabdruck-Prüfung und Authentifizierung baut der Angreifer einen gesicherten Fernzugriff über eine mit dem Elliptic-Curve-Protokoll verschlüsselte Mutual-TLS-Sitzung auf. “Die statische Analyse deutet darauf hin, dass das RESURGE-Implantat den EC-Schlüssel des entfernten Akteurs zur Verschlüsselung anfordert und ihn zudem mit einem fest einprogrammierten EC-Zertifizierungsstellenschlüssel (CA) verifiziert”, erklärt CISA. Durch die Nachahmung von legitimem TLS- und SSH-Verkehr erreiche das Implantat Tarnung und Persistenz.
Eine weitere analysierte Datei ist eine Variante der Malware SpawnSloth mit dem Namen liblogblock.so, die im RESURGE-Implantat enthalten ist. Ihr Hauptzweck ist die Manipulation von Protokolldateien, um schädliche Aktivitäten auf kompromittierten Geräten zu verbergen. Als dritte Datei untersuchte CISA dsmain, ein Skript zur Kernel-Extraktion, das das Open-Source-Skript “extract_vmlinux.sh” und die BusyBox-Sammlung von Unix/Linux-Werkzeugen einbettet. Es erlaubt RESURGE, Coreboot-Firmware-Images zu entschlüsseln, zu verändern und neu zu verschlüsseln sowie Dateisysteminhalte zu manipulieren, um eine Persistenz auf Boot-Ebene zu erreichen.
Laut CISA zeigt die aktualisierte Analyse, dass RESURGE so lange inaktiv auf Systemen verbleiben kann, bis ein entfernter Akteur versucht, sich mit dem kompromittierten Gerät zu verbinden. Aus diesem Grund könne das Implantat “ruhend und unentdeckt auf Ivanti-Connect-Secure-Geräten verbleiben und bleibt eine aktive Bedrohung”. Die Behörde rät Systemadministratoren, die aktualisierten Kompromittierungsindikatoren (IoCs) zu nutzen, um schlummernde RESURGE-Infektionen aufzuspüren und von Ivanti-Geräten zu entfernen.
