A agência de cibersegurança norte-americana detalhou novas informações sobre o RESURGE, um software malicioso utilizado em ataques zero-day que explora a falha CVE-2025-0282 para comprometer dispositivos Ivanti Connect Secure. A atualização foca-se na capacidade de latência do malware nos equipamentos e nas suas técnicas de evasão ao nível da rede, que permitem uma comunicação furtiva.
Técnicas avançadas de evasão e comunicação
A agência já tinha documentado este implante a 28 de março do ano passado, destacando a sua capacidade para sobreviver a reinícios, criar webshells para roubo de credenciais, repor palavras-passe e escalar privilégios. Segundo a empresa de resposta a incidentes Mandiant, esta vulnerabilidade crítica foi explorada desde meados de dezembro de 2024 por um grupo associado à China, monitorizado como UNC5221.
O RESURGE é um ficheiro partilhado Linux de 32 bits que funciona como um implante passivo de comando e controlo, integrando funcionalidades de rootkit, backdoor e proxy. Em vez de emitir sinais constantes, o malware aguarda indefinidamente por uma ligação TLS específica, evadindo assim a monitorização habitual da rede. Quando carregado, o implante inspeciona os pacotes de entrada antes que estes cheguem ao servidor web, procurando tentativas de ligação que coincidam com uma impressão digital CRC32 específica. Se a correspondência não ocorrer, o tráfego é encaminhado normalmente para o servidor legítimo da Ivanti.
Certificados falsos e manipulação do sistema
Para assegurar a comunicação direta com o implante, o ataque recorre a um certificado falso da Ivanti. Este certificado é utilizado estritamente para fins de autenticação e verificação, não servindo para encriptar a comunicação. Como este certificado forjado é enviado sem encriptação, as equipas de defesa podem utilizá-lo como uma assinatura de rede para detetar equipamentos comprometidos.
A análise revelou ainda a presença de uma variante do malware SpawnSloth, desenhada para manipular registos e ocultar atividade maliciosa, e de um script de extração do kernel. Estas ferramentas permitem ao RESURGE modificar imagens de firmware e manipular o sistema de ficheiros para garantir a persistência durante o arranque do dispositivo.
A autoridade sublinha que o malware pode permanecer latente nos sistemas até que ocorra uma tentativa de ligação remota, sugerindo aos administradores que utilizem os novos indicadores de compromisso para identificar e remover infeções inativas, conforme detalhado no boletim de segurança da CISA.
Nenhum comentário
Seja o primeiro!