«Это моя добыча»: RESURGE вытесняет конкурентов из заражённых систем

Американское агентство CISA опубликовало новые технические детали вредоносного ПО под названием RESURGE, которое применяется при эксплуатации уязвимости CVE-2025-0282 в устройствах Ivanti Connect Secure. Уязвимость, уже получившая исправление, представляет собой переполнение стека и позволяет выполнять произвольный код на удалённой системе.

RESURGE действует как модифицированная версия известного вредоноса SPAWNCHIMERA и содержит ряд новых функций, усиливающих его устойчивость и возможности по скрытному контролю системы. RESURGE представляет собой библиотеку «libdsupgrade.so» и включает возможности руткита, загрузчика, бэкдора, буткита, прокси и туннелирования.

По данным CISA, одной из ключевых особенностей вредоносной программы стало её умение выживать после перезагрузки системы и незаметно внедряться в критические процессы. Новый функционал позволяет встраивать себя в «ld.so.preload», устанавливать веб-оболочку, изменять системные файлы и подменять механизмы проверки целостности.

Также RESURGE может использовать веб-оболочку для кражи учётных данных, создания новых пользователей, сброса паролей и повышения привилегий. Более того, вредонос способен копировать свою оболочку на загрузочный диск устройства и вмешиваться в образ прошивки coreboot, что делает его особенно устойчивым и опасным в долгосрочной перспективе.

CISA обнаружило RESURGE в инфраструктуре критически важного объекта, где также были найдены два дополнительных артефакта. Один из них — модифицированная библиотека SPAWNSLOTH («liblogblock.so»), встроенная в RESURGE, вмешивается в системные логи устройств Ivanti.

Второй компонент — исполняемый файл «dsmain», представляющий собой 64-битный бинарник на базе Linux с открытым скриптом и набором утилит из BusyBox. Этот файл позволяет извлекать образ ядра vmlinux из скомпрометированной версии, что упрощает анализ и модификацию ОС.

Как сообщила компания Mandiant, уязвимость CVE-2025-0282 активно используется китайской кибершпионской группировкой UNC5337. Именно она развивает экосистему вредоносных компонентов под общим названием SPAWN, в которую входят SPAWNANT, SPAWNMOLE и SPAWNSNAIL. Впоследствии все модули были объединены в один монолитный зловред SPAWNCHIMERA, а RESURGE стал его усовершенствованной версией.

Примечательно, что SPAWNCHIMERA обладает функцией закрытия уязвимости CVE-2025-0282 сразу после заражения, чтобы исключить вмешательство других злоумышленников. Таким образом, вредонос действует как защитник собственного доступа, маскируя вход и повышая устойчивость присутствия в системе.

Ранее в марте корпорация Microsoft сообщила, что уязвимость также эксплуатировалась другой китайской группой — Silk Typhoon, ранее известной как Hafnium. Таким образом, становится очевидно, что эксплуатируемая уязвимость привлекла внимание сразу нескольких активных киберугроз, связанных с Китаем.

CISA подчёркивает необходимость срочного обновления всех уязвимых версий продуктов Ivanti — Connect Secure до 22.7R2.5, Policy Secure до 22.7R1.2 и Neurons for ZTA до 22.7R2.3. Кроме того, агентство рекомендует сбросить учётные данные всех пользователей и администраторов, пересмотреть права доступа, временно ограничить привилегии затронутых устройств, обновить ключи доступа и внимательно отслеживать активность в системе.