Scoperta una nuova minaccia: il malware RESURGE
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente rivelato l’esistenza di un nuovo malware chiamato RESURGE, utilizzato per sfruttare una vulnerabilità di sicurezza ora risolta nei dispositivi Ivanti Connect Secure (ICS). Questo malware presenta funzionalità simili alla variante SPAWNCHIMERA, come la capacità di sopravvivere ai riavvii, ma include comandi distintivi che ne modificano il comportamento.
Caratteristiche e vulnerabilità sfruttata
Il file di RESURGE possiede capacità di rootkit, dropper, backdoor, bootkit, proxy e tunneler. La vulnerabilità di sicurezza associata al malware è identificata come CVE-2025-0282, un buffer overflow basato su stack che colpisce Ivanti Connect Secure, Policy Secure e ZTA Gateways, potenzialmente permettendo l’esecuzione di codice remoto. Le versioni impattate sono:
- Ivanti Connect Secure prima della versione 22.7R2.5
- Ivanti Policy Secure prima della versione 22.7R1.2
- Ivanti Neurons for ZTA gateways prima della versione 22.7R2.3
Il ruolo del malware SPAWN
Secondo Mandiant, di proprietà di Google, la vulnerabilità CVE-2025-0282 è stata sfruttata per distribuire l’ecosistema di malware SPAWN, che include componenti come SPAWNANT, SPAWNMOLE e SPAWNSNAIL. L’uso di SPAWN è stato attribuito a un gruppo di spionaggio legato alla Cina, noto come UNC5337.
Evoluzione del malware: da SPAWNCHIMERA a RESURGE
Il mese scorso, JPCERT/CC ha osservato che il difetto di sicurezza è stato utilizzato per distribuire una versione aggiornata di SPAWN, chiamata SPAWNCHIMERA, che combina tutti i moduli precedenti in un unico malware monolitico. Questa variante ha introdotto la capacità di comunicazione inter-processo tramite socket di dominio UNIX e una funzione per correggere la vulnerabilità CVE-2025-0282, impedendo ad altri attori malevoli di sfruttarla.
Nuove funzionalità di RESURGE
RESURGE, identificato come “libdsupgrade.so”, rappresenta un miglioramento rispetto a SPAWNCHIMERA, supportando tre nuovi comandi:
- Inserirsi in “ld.so.preload”, configurare una web shell, manipolare i controlli di integrità e modificare i file
- Abilitare l’uso di web shell per il furto di credenziali, creazione di account, reset delle password e escalation dei privilegi
- Copiare la web shell sul disco di avvio di Ivanti e manipolare l’immagine coreboot in esecuzione
Ulteriori scoperte di CISA
CISA ha anche scoperto due altri artefatti da un dispositivo ICS di un’entità di infrastruttura critica non specificata: una variante di SPAWNSLOTH (“liblogblock.so”) contenuta in RESURGE e un binario ELF Linux a 64 bit personalizzato (“dsmain”). La variante SPAWNSLOTH altera i log del dispositivo Ivanti, mentre il terzo file è un binario incorporato personalizzato che contiene uno script shell open-source e un sottoinsieme di applet dallo strumento open-source BusyBox. Lo script shell open-source consente di estrarre un’immagine del kernel non compressa (vmlinux) da un’immagine del kernel compromessa.
Minaccia persistente
È importante notare che CVE-2025-0282 è stata sfruttata anche come zero-day da un altro gruppo di minacce legato alla Cina, noto come Silk Typhoon (precedentemente Hafnium), come rivelato da Microsoft all’inizio di questo mese. Le ultime scoperte indicano che la minaccia è ancora attiva e in evoluzione.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
