A agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) identificou um novo malware, chamado RESURGE, que está sendo usado em ataques que exploram uma falha de segurança corrigida recentemente em dispositivos Ivanti Connect Secure (ICS).
“RESURGE compartilha características com o malware SPAWNCHIMERA, como a capacidade de sobreviver a reinicializações, mas possui comandos exclusivos que alteram seu comportamento,” comunicou a agência. “O arquivo inclui funcionalidades de rootkit, dropper, backdoor, bootkit, proxy e tunneler.”
A vulnerabilidade explorada por este malware é a CVE-2025-0282, um estouro de buffer baseado em pilha que afeta gateways Ivanti Connect Secure, Policy Secure e ZTA, permitindo a execução remota de código.
As versões afetadas são:
- Ivanti Connect Secure antes da versão 22.7R2.5
- Ivanti Policy Secure antes da versão 22.7R1.2
- Ivanti Neurons para gateways ZTA antes da versão 22.7R2.3
A Mandiant, do Google, revelou que a CVE-2025-0282 é usada para distribuir o ecossistema de malware SPAWN, que inclui componentes como SPAWNANT, SPAWNMOLE e SPAWNSNAIL, associados ao grupo de espionagem chinês UNC5337. O JPCERT/CC identificou uma versão atualizada do SPAWN, chamada SPAWNCHIMERA, que reúne esses módulos e usa soquetes de domínio UNIX para comunicação entre processos. Essa variante corrigia a CVE-2025-0282, impedindo sua exploração por outros invasores.
RESURGE, ou “libdsupgrade.so”, é uma evolução do SPAWNCHIMERA com três novos comandos:
Notícias Relacionadas
Ameaça cibernética
Campanha de phishing atinge usuários do WooCommerce com patches falsos e implanta backdoors
Pesquisadores de segurança cibernética estão alertando sobre uma campanha de phishing em grande escala, que tem como alvo usuários do WooCommerce. A ameaça envolve um alerta falso sobre vulnerabilidades de segurança, com a falsa promessa de fornecer um “patch crítico” para corrigir problemas inexistentes. Na realidade, o download do patch instala um backdoor no site […]
Segurança digital
DragonForce lança cartel de ransomware com modelo de marca branca
O cenário de ataques cibernéticos está passando por uma transformação significativa, impulsionada pelo grupo DragonForce, que propôs uma nova abordagem no mercado de ransomware. Em vez de seguir o tradicional modelo de ransomware como serviço (RaaS), a DragonForce está estruturando um cartel que oferece infraestrutura completa para afiliados, permitindo que eles operem com suas próprias […]
- Inserção em “ld.so.preload”, configuração de shell da web, manipulação de verificações de integridade e modificação de arquivos.
- Uso de shells da web para coleta de credenciais, criação de contas, redefinição de senhas e escalonamento de privilégios.
- Cópia do shell da web para o disco de inicialização do Ivanti e manipulação da imagem coreboot.
A CISA também descobriu outros artefatos em dispositivos ICS de uma infraestrutura crítica: uma variante do SPAWNSLOTH (“liblogblock.so”) incluída no RESURGE e um binário Linux ELF de 64 bits personalizado (“dsmain”). A variante SPAWNSLOTH modifica os logs do dispositivo Ivanti, e o binário personalizado contém um script de shell e applets BusyBox, permitindo extrair uma imagem de kernel descompactada (vmlinux) de um kernel comprometido.
A CVE-2025-0282 também foi explorada como zero-day pelo grupo chinês Silk Typhoon (Hafnium), conforme relatado pela Microsoft. As últimas descobertas mostram que os invasores estão aprimorando suas táticas, tornando crucial a atualização das instâncias Ivanti para a versão mais recente.
Recomenda-se ainda:
- Redefinir credenciais de contas privilegiadas e não privilegiadas.
- Alterar senhas de todos os usuários do domínio e contas locais.
- Revisar políticas de acesso e revogar privilégios de dispositivos afetados.
- Redefinir credenciais de contas ou chaves de acesso.
- Monitorar contas em busca de atividades suspeitas.
