Die US Cyber Security and Infrastructure Agency (CISA) hat technische Informationen über eine stille Bedrohung erweitert, die einen kritischen Ausfall auf Ivanti Connect Secure Geräten nutzt: ein schädliches Implantat namens RESURGE. Diese böswillige Software verhalten sich nicht wie die typische Backdoor, die "screams" wenn Sie mit Ihrem Kommandozentrum verbinden; stattdessen bleibt es im Gerät, bis der Angreifer eine sehr spezifische Verbindung beginnt, so dass es schwierig ist, es durch herkömmliche Netzwerküberwachungstools zu erkennen.
RESURGE wird als 32-Bit-Buchstore für Linux - eine .so-Datei - vorgestellt, die in der betroffenen Anwendung installiert ist und Rootkit-Funktionen, Beharrlichkeit in Boot-, Back-Türen und Proxy- und Tunnelfunktionen hinzufügt. Technisch gesehen, wenn die Buchhandlung in den Webprozess des Geräts geladen wird, erfasst sie den akzeptablen () Systemanruf, um eingehende TLS-Verbindungen zu prüfen, bevor sie den legitimen Server erreichen. Nur wenn die Verbindung einen bestimmten TLS-Fußabdruck erfüllt - berechnet mit einem CRC32-Schema, das auf den Fingerabdruck angewendet wird - und mit einem gefälschten Zertifikat, das Ivanti imitiert, das Implantat reagiert; andernfalls wird der Verkehr an den legitimen Server geliefert, halten normale Funktionalität und reduzieren sichtbare Eingriffssignale.
Darüber hinaus wird eine anschließende Fernkommunikation durch eine mit elliptischen Kurvenverschlüsselung verschlüsselte gegenseitige TLS-Sitzung hergestellt. Das Implantat fordert den EC-Schlüssel des Fernbedieners und überprüft diesen Schlüssel mit einem in seinen Code eingebetteten EC-Zertifizierungsbehördecode, der es ermöglicht, einen verschlüsselten Kanal aufrechtzuerhalten und schwer von legitimen TLS- oder SSH-Verkehr zu unterscheiden. Diese Technik des Mimicalismus bietet den Verteidigern zusammen mit der Tatsache, dass das gefälschte Zertifikat an einem Punkt des Protokolls ohne Verschlüsselung übertragen wird, eine Möglichkeit: Diese unverschlüsselte Zertifikatssignatur kann als Indikator für das Engagement im Netzwerkverkehr dienen, wenn ausdrücklich gesucht.
Die von CISA veröffentlichte Analyse enthält auch weitere Komponenten, die die Fähigkeit des Implantats erweitern, seine Drucke zu verbergen und im System zu bestehen: eine bekannte Variante von SpawnSloth (identifiziert als liblogblock.so) entwickelt, um Datensätze zu ändern und Spuren von bösartiger Aktivität zu löschen, und ein Skript namens dsmain, das Nutzungen wie Extrakt _ vmlinux.sh und BusyBox enthält, um Firmware-Bilder zu extrah zu extrahieren und zu manipulieren. Dank dieser Tools können Angreifer sogar Bilder von Das ist nicht wichtig. und lassen Änderungen auf Start-Level, die Restarts oder Oberflächenreinigung überleben.
Die ausgenutzte Sicherheitslücke, die als CVE-2025-0282 aufgezeichnet wurde, wurde seit Dezember 2024 als Nulltag von einem Schauspieler verwendet, dem einige Nebenreaktionsfirmen eine mit China verbundene Gruppe zugeordnet haben (intern als UNC5221 bezeichnet). Die in früheren Vorfällen beobachteten Fähigkeiten umfassen die Erstellung von Webshells für den Diebstahl von Anmeldeinformationen, die Erstellung von lokalen Konten, Passwortverlagerungen und die Eskalation von Privilegien, die die Geräte in wertvolle Plattformen für Seitenbewegungen und Exfiltration von Informationen gebunden macht.
Das operationellste Anliegen ist die Latenz und Dormant des Implantats: kann für lange Zeiträume inaktiv sein und nicht Aktivität zeigen, bis der Fernbediener versucht, zu verbinden, so dass ein Team gesund erscheinen kann, während eine bereit zu aktivieren Bedrohung. Aus diesem Grund besteht die CISA darauf, dass Administratoren nicht darauf vertrauen, dass offensichtliche Anzeichen von Engagement fehlen und die Unterschriften und Indikatoren verwenden, die für die Suche nach latenten Infektionen vorgesehen sind.
Für diejenigen, die Ivanti Connect Secure und ähnliche Geräte verwalten, ist die praktische Straßenkarte, mehrere Maßnahmen zu kombinieren: die von dem Lieferanten veröffentlichten Patches und Minderungen anwenden, die Dateien und Verifikationsbeträge der Analyse mit den in der Ausrüstung vorhandenen Dateien vergleichen, das Vorhandensein der zugehörigen Buchhandlungen und Skripte suchen und den TLS-Verkehr auf der Suche nach atypischen Mustern untersuchen (einschließlich der apocryphal-Zertifikat, die nach CISA in den nicht verschlüsselten zirkulationsphasen verbreitet). Wenn es eine Verpflichtungsbestätigung gibt, können Maßnahmen die Isolierung von Geräten, die Wiederherstellung von zuverlässigen Bildern und in kritischen Umgebungen die vollständige Rekonstruktion der Anwendung enthalten, um jede Spur von Firmware oder Boot-Manipulation zu entfernen.
Wenn Sie das erweiterte technische Dokument des CISA lesen möchten, veröffentlichte die Agentur einen Analysebericht, der diese Mechanismen genauer beschreibt und Verpflichtungsindikatoren liefert: CISA-Bericht über RESURGE. CISA hatte auch zuvor eine erste Warnung veröffentlicht, die die Fähigkeiten von Malware und seine Beharrlichkeit zusammenfasst: Vorwarnung von CISA. Für den öffentlichen Hinweis auf die Schwachstelle siehe Datenblatt in der nationalen Sicherheitsdatenbank: CVE-2025-0282 in NVD. Die Analyse- und technischen Presseberichte haben auch den Fall abgedeckt und die Zuschreibung und den Modus operandi kontextualisiert; beispielsweise enthält diese journalistische Zusammenfassung die relevanten Kernpunkte und Links: BleepingComputer auf RESURGE. Schließlich, wenn Sie Ivanti Produkte verwalten, ist es angebracht, den offiziellen Sicherheitshinweis Abschnitt des Lieferanten zu besuchen, um Ihre Angaben anzuwenden: Die Sicherheitshinweise von Ivanti.
Kurz gesagt, RESURGE stellt eine Evolution in Intrusionstechniken dar: weniger Lärm, mehr Mymetismus und Beharrlichkeit bei sehr niedrigem Profil. Der Schlüssel zur Minderung dieser Art von Bedrohung ist nicht nur zu parken, sondern auch zu aktiv subtilen Signalen im Netzwerk und in den Systemen zu suchen und bei Bedarf auf tiefe Mediationsmaßnahmen vorbereitet zu werden. Die gute Nachricht ist, dass Sicherheitsteams mit technischen Informationen, die bereits von CISA und anderen Einrichtungen veröffentlicht wurden, Werkzeuge und Unterschriften haben, um diese Infektionen zu erkennen und zu löschen, wenn sie schnell und koordiniert handeln.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...