RESURGE-Malware bleibt auf kompromittierten Ivanti-Geräten inaktiv, warnt CISA

CISA enthüllt RESURGE-Malware, die Ivanti Connect Secure angreift

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat neue technische Details zur RESURGE-Malware veröffentlicht, einem hochentwickelten Schadsoftware-Implantat, das in jüngsten Zero-Day-Angriffen unter Ausnutzung der Schwachstelle CVE-2025-0282 zur Kompromittierung von Ivanti Connect Secure-Geräten eingesetzt wird. Die Behörde warnt davor, dass die Malware inaktiv bleiben kann, um der Erkennung zu entgehen und gleichzeitig die Persistenz auf infizierten Systemen aufrechtzuerhalten.

Technische Details zu RESURGE

RESURGE, das in aktuellen Kampagnen von Bedrohungsakteuren identifiziert wurde, nutzt CVE-2025-0282, eine kritische Schwachstelle in den Connect Secure VPN-Appliances von Ivanti. Laut der Analyse der CISA setzt die Malware mehrere Tarnmechanismen ein, darunter:

• Dormanz-Mechanismen, um während der initialen Kompromittierung keine Sicherheitsalarme auszulösen.
• Prozess-Injektion, um schädlichen Code innerhalb legitimer Systemprozesse auszuführen.
• Verschleierte Command-and-Control (C2)-Kommunikation, um Netzwerküberwachung zu umgehen.

Die CISA weist in ihrer Sicherheitswarnung darauf hin, dass RESURGE darauf ausgelegt ist, Anmeldedaten zu stehlen, Daten zu exfiltrieren und Backdoor-Zugriff für weitere laterale Bewegungen innerhalb kompromittierter Netzwerke zu etablieren. Die modulare Architektur des Implantats deutet darauf hin, dass es Teil eines umfassenderen Angriffstoolkits sein könnte, das möglicherweise mit Advanced Persistent Threat (APT)-Gruppen in Verbindung steht.

Auswirkungen und Risikobewertung

Die Ausnutzung von CVE-2025-0282 stellt ein erhebliches Risiko für Organisationen dar, die Ivanti Connect Secure für den Fernzugriff nutzen. Zu den Hauptbedenken gehören:

• Versteckte Persistenz: Die Fähigkeit von RESURGE, inaktiv zu bleiben, erschwert die Erkennung und ermöglicht es Bedrohungsakteuren, über längere Zeiträume Zugriff zu behalten.
• Datenexfiltration: Die Fähigkeit der Malware, Anmeldedaten zu stehlen, könnte zu unbefugtem Zugriff auf sensible Unternehmens- oder Regierungssysteme führen.
• Lieferkettenrisiken: Kompromittierte Ivanti-Geräte könnten als Einfallstore für umfassendere Netzwerkeinbrüche dienen, insbesondere in hochsensiblen Sektoren wie Regierung, Verteidigung und kritischer Infrastruktur.

Die Erkenntnisse der CISA unterstreichen die Dringlichkeit für Organisationen, verwundbare Ivanti-Systeme umgehend zu patchen und eine gründliche forensische Analyse durchzuführen, um Anzeichen einer Kompromittierung zu identifizieren.

Maßnahmen zur Abwehr und Empfehlungen

Die CISA fordert Administratoren auf, folgende Schritte zu unternehmen:

1. Patches anwenden: Aktualisieren Sie Ivanti Connect Secure-Geräte sofort auf die neueste Firmware-Version, die CVE-2025-0282 behebt.
2. Betroffene Systeme isolieren: Quarantänisieren Sie alle Geräte, die verdächtiges Verhalten zeigen, bis eine vollständige Untersuchung abgeschlossen ist.
3. Nach Indikatoren für Kompromittierung (IOCs) suchen: Überprüfen Sie die Sicherheitswarnung der CISA auf RESURGE-spezifische IOCs, einschließlich Datei-Hashes, C2-Domains und Netzwerksignaturen.
4. Erkennung verbessern: Setzen Sie Endpoint Detection and Response (EDR)-Lösungen ein, um Prozess-Injektionen und anomale C2-Kommunikation zu erkennen.
5. Forensische Analyse durchführen: Nutzen Sie das Integrity Checker Tool von Ivanti, um die Systemintegrität zu überprüfen und unautorisierte Änderungen zu erkennen.

Organisationen wird geraten, von einer Kompromittierung auszugehen, wenn sie exponierte Ivanti-Geräte betreiben, und entsprechende Incident-Response-Protokolle einzuleiten. Der vollständige Bericht der CISA bietet zusätzliche technische Anleitungen für Verteidiger.