Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiornato le informazioni relative al malware RESURGE, utilizzato negli attacchi ai dispositivi Ivanti Connect Secure tramite la vulnerabilità zero-day CVE-2025-0282.
Questo malware è stato documentato per la prima volta a marzo dello scorso anno. All’epoca, il CISA aveva osservato che poteva sopravvivere ai riavvii, creare web shell per rubare credenziali, creare nuovi account, reimpostare password e aumentare i privilegi.
Secondo Mandiant, la vulnerabilità critica CVE-2025-0282 è stata sfruttata da metà dicembre 2024 da un gruppo di hacker legato alla Cina, identificato con l’identificatore UNC5221. La scorsa settimana, gli analisti del CISA hanno rivelato i dettagli tecnici su come RESURGE si nasconde nei sistemi compromessi.
Hanno affermato che il malware è un file Linux Shared Object a 32 bit (libdsupgrade.so) e possiede funzionalità di rootkit, bootkit, backdoor e dropper, oltre a funzionalità di proxy e tunneling.
La caratteristica principale di RESURGE è la sua comunicazione passiva con il server di comando e controllo. Invece di contattare autonomamente il C2, il malware attende indefinitamente una specifica connessione TLS in ingresso, il che gli consente di eludere gli strumenti standard di monitoraggio della rete.
Dopo essersi caricato nel processo web, il malware intercetta la funzione accept() e ispeziona i pacchetti TLS in arrivo prima che raggiungano il server web. Per identificare le connessioni legittime, utilizza l’hashing CRC32 delle impronte digitali TLS. Se l’impronta digitale non corrisponde, il traffico viene reindirizzato al server Ivanti legittimo.
Per l’autenticazione, gli aggressori utilizzano un falso certificato Ivanti, che non viene utilizzato per la crittografia, ma per verificare che l’aggressore stia interagendo con il malware e non con il server web legittimo. Poiché il falso certificato viene trasmesso in chiaro sulla rete. CISA sottolinea che i difensori possono utilizzarlo come firma per rilevare eventuali compromissioni.
Dopo la verifica e l’autenticazione delle impronte digitali, l’aggressore stabilisce una connessione sicura all’impianto tramite TLS reciproco con crittografia a curva ellittica. L’analisi statica ha rivelato che RESURGE richiede la chiave EC dell’operatore remoto per la crittografia e la verifica utilizzando la chiave CA hardcoded.
Oltre al malware stesso, i ricercatori del CISA hanno analizzato altri due file. Il primo è una variante del malware SpawnSloth (liblogblock.so), responsabile della cancellazione dei log sui dispositivi compromessi. Il secondo è un binario dsmain che utilizza l’utility open source extract_vmlinux.sh e il toolkit BusyBox per decrittografare, modificare e ricodificare le immagini del firmware coreboot. Questo consente a RESURGE di persistere in modo sicuro nel sistema.
CISA sottolinea che, a causa del suo principio di funzionamento passivo, RESURGE può rimanere inattivo sui dispositivi Ivanti Connect Secure finché l’operatore non avvia una connessione.
