Агентство по кибербезопасности и защите инфраструктуры США (CISA) обновило информацию о малвари RESURGE, которая использовалась в атаках на устройства Ivanti Connect Secure через уязвимость нулевого дня CVE-2025-0282.
Впервые этот вредонос задокументировали еще в марте прошлого года. Тогда в CISA отмечали, что он способен переживать перезагрузки, создавать веб-шеллы для кражи учетных данных, заводить новые аккаунты, сбрасывать пароли и повышать привилегии.
По данным специалистов компании Mandiant, критическую уязвимость CVE-2025-0282 с середины декабря 2024 года эксплуатировала связанная с Китаем хак-группа, которую отслеживают под идентификатором UNC5221.
На прошлой неделе аналитики CISA раскрыли технические подробности того, как RESURGE скрывается в скомпрометированных системах. По их словам, вредонос представляет собой 32-битный файл формата Linux Shared Object (libdsupgrade.so) и обладает возможностями руткита, буткита, бэкдора и дроппера, а также может осуществлять проксирование и туннелирование.
Главная особенность RESURGE — пассивная схема связи с управляющим сервером. Вместо того чтобы самостоятельно «стучаться» на C2, малварь бесконечно ожидает определенного входящего TLS-соединения, что позволяет ей уклоняться от обычных средств сетевого мониторинга.
Загрузившись в процесс web, вредонос перехватывает функцию accept() и инспектирует входящие TLS-пакеты до того, как они дойдут до веб-сервера. Для идентификации «нужных» подключений используется хеширование отпечатков TLS через CRC32. Если отпечаток не совпадает, трафик перенаправляется на легитимный сервер Ivanti.
Для аутентификации атакующие применяют поддельный сертификат Ivanti — он нужен не для шифрования, а чтобы удостовериться, что злоумышленник взаимодействует именно с малварью, а не с настоящим веб-сервером. Поскольку фальшивый сертификат передается по сети в незашифрованном виде, в CISA отмечают, что защитники могут использовать его как сигнатуру для обнаружения компрометации.
После проверки отпечатка и аутентификации атакующий устанавливает защищенное соединение с имплантом через Mutual TLS с шифрованием на основе эллиптических кривых. Статический анализ показал, что RESURGE запрашивает EC-ключ удаленного оператора для шифрования и верифицирует его с помощью жестко закодированного ключа удостоверяющего центра.
Помимо самого вредоноса специалисты CISA проанализировали еще два файла. Первый — вариант малвари SpawnSloth (liblogblock.so), который отвечает за затирание логов на скомпрометированных устройствах. Второй — бинарник dsmain, использующий опенсорсную утилиту extract_vmlinux.sh и набор BusyBox для расшифровки, модификации и повторного шифрования образов прошивки coreboot. Это позволяет RESURGE надежно закрепляться в системе.
В CISA подчеркивают, что из-за пассивной схемы работы RESURGE может оставаться в «спящем» состоянии на устройствах Ivanti Connect Secure до тех пор, пока оператор не инициирует подключение.
