Вредонос RESURGE сохраняет скрытое присутствие на уязвимых устройствах Ivanti — предупреждает CISA

CISA раскрыла детали вредоносного ПО RESURGE, атакующего Ivanti Connect Secure

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало новые технические подробности о вредоносном импланте RESURGE, который использовался в недавних атаках с эксплуатацией уязвимости нулевого дня CVE-2025-0282 для компрометации устройств Ivanti Connect Secure. Агентство предупреждает, что вредоносное ПО может оставаться в спящем режиме, уклоняясь от обнаружения и сохраняя постоянный доступ к заражённым системам.

Технические особенности RESURGE

RESURGE, выявленный в ходе продолжающихся кампаний киберугроз, эксплуатирует CVE-2025-0282 — критическую уязвимость в VPN-устройствах Ivanti Connect Secure. Согласно анализу CISA, вредоносное ПО использует несколько методов уклонения, включая:

• Механизмы спящего режима для предотвращения срабатывания систем безопасности на начальном этапе компрометации.
• Внедрение процессов для выполнения вредоносного кода в рамках легитимных системных процессов.
• Зашифрованные каналы связи с командными серверами (C2) для обхода сетевого мониторинга.

В бюллетене CISA подчёркивается, что RESURGE предназначен для кражи учётных данных, эксфильтрации данных и создания бэкдоров для дальнейшего распространения по скомпрометированным сетям. Модульная архитектура импланта указывает на то, что он может быть частью более широкого арсенала атак, потенциально связанного с группами APT (Advanced Persistent Threat).

Оценка угроз и последствий

Эксплуатация уязвимости CVE-2025-0282 представляет значительные риски для организаций, использующих Ivanti Connect Secure для удалённого доступа. Основные опасения включают:

• Скрытое присутствие: Способность RESURGE оставаться в спящем режиме усложняет обнаружение, позволяя злоумышленникам сохранять доступ в течение длительного времени.
• Эксфильтрация данных: Функции кражи учётных данных могут привести к несанкционированному доступу к корпоративным или государственным системам.
• Риски для цепочки поставок: Скомпрометированные устройства Ivanti могут служить точкой входа для более масштабных атак, особенно в таких критически важных секторах, как государственные учреждения, оборона и инфраструктура.

Выводы CISA подчёркивают необходимость немедленного обновления уязвимых систем Ivanti и проведения тщательного форензик-анализа для выявления признаков компрометации.

Меры по снижению рисков и рекомендации

CISA настоятельно рекомендует администраторам предпринять следующие действия:

1. Установить обновления: Немедленно обновить устройства Ivanti Connect Secure до последней версии прошивки, устраняющей уязвимость CVE-2025-0282.
2. Изолировать поражённые системы: Поместить устройства с подозрительным поведением на карантин до завершения полного расследования.
3. Мониторинг индикаторов компрометации (IOC): Ознакомиться с бюллетенем CISA для получения специфичных для RESURGE индикаторов, включая хеши файлов, домены C2 и сетевые сигнатуры.
4. Усилить обнаружение: Развернуть решения для обнаружения и реагирования на конечных точках (EDR) для выявления внедрения процессов и аномального трафика C2.
5. Провести форензик-анализ: Использовать инструмент проверки целостности Ivanti для проверки системной целостности и обнаружения несанкционированных изменений.

Организациям рекомендуется исходить из предположения о компрометации, если у них есть уязвимые устройства Ivanti, и инициировать протоколы реагирования на инциденты. В полном отчёте CISA содержится дополнительное техническое руководство для специалистов по кибербезопасности.