Malware RESURGE Permanece Inativo em Dispositivos Ivanti Comprometidos, Alerta CISA

CISA Expõe Malware RESURGE Mirando Dispositivos Ivanti Connect Secure

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou novos detalhes técnicos sobre o RESURGE, um implante de malware sofisticado utilizado em ataques recentes de zero-day que exploram a vulnerabilidade CVE-2025-0282 para comprometer dispositivos Ivanti Connect Secure. A agência alerta que o malware pode permanecer inativo, evitando detecção enquanto mantém persistência em sistemas infectados.

Detalhes Técnicos do RESURGE

O RESURGE, identificado em campanhas contínuas de agentes de ameaças, explora a CVE-2025-0282, uma vulnerabilidade crítica nos appliances VPN Ivanti Connect Secure. Segundo a análise da CISA, o malware emprega múltiplas técnicas de evasão, incluindo:

• Mecanismos de dormência para evitar o acionamento de alertas de segurança durante o comprometimento inicial.
• Injeção de processos para executar código malicioso dentro de processos legítimos do sistema.
• Comunicações ofuscadas de comando e controle (C2) para burlar o monitoramento de rede.

O comunicado da CISA destaca que o RESURGE foi projetado para coletar credenciais, exfiltrar dados e estabelecer acesso por backdoor para movimentação lateral adicional dentro de redes comprometidas. A arquitetura modular do implante sugere que ele pode fazer parte de um kit de ferramentas de ataque mais amplo, potencialmente vinculado a grupos de ameaças persistentes avançadas (APT).

Impacto e Avaliação de Risco

A exploração da CVE-2025-0282 representa riscos significativos para organizações que dependem do Ivanti Connect Secure para acesso remoto. As principais preocupações incluem:

• Persistência furtiva: A capacidade do RESURGE de permanecer inativo dificulta a detecção, permitindo que agentes de ameaças mantenham acesso por períodos prolongados.
• Exfiltração de dados: As funcionalidades de coleta de credenciais do malware podem levar a acessos não autorizados a sistemas corporativos ou governamentais sensíveis.
• Riscos à cadeia de suprimentos: Dispositivos Ivanti comprometidos podem servir como pontos de entrada para infiltrações mais amplas na rede, especialmente em setores de alto valor, como governo, defesa e infraestrutura crítica.

As descobertas da CISA reforçam a urgência de as organizações aplicarem patches imediatamente em sistemas Ivanti vulneráveis e realizarem análises forenses completas para identificar sinais de comprometimento.

Mitigação e Recomendações

A CISA recomenda que os administradores tomem as seguintes ações:

1. Aplicar patches: Atualizar imediatamente os dispositivos Ivanti Connect Secure para a versão mais recente do firmware que corrija a CVE-2025-0282.
2. Isolar sistemas afetados: Colocar em quarentena quaisquer dispositivos que apresentem comportamento suspeito até que uma investigação completa seja concluída.
3. Monitorar indicadores de comprometimento (IOCs): Revisar o comunicado da CISA para IOCs específicos do RESURGE, incluindo hashes de arquivos, domínios C2 e assinaturas de rede.
4. Reforçar a detecção: Implementar soluções de detecção e resposta de endpoint (EDR) para identificar injeção de processos e tráfego C2 anômalo.
5. Realizar análise forense: Utilizar a ferramenta de verificação de integridade da Ivanti para verificar a integridade do sistema e detectar modificações não autorizadas.

As organizações são aconselhadas a assumir que houve violação se possuírem dispositivos Ivanti expostos e a iniciar protocolos de resposta a incidentes. O relatório completo da CISA oferece orientações técnicas adicionais para defensores.