Seit Anfang Januar sind Angriffe auf Ivantis ICS bekannt. Die
CISA hat die Malware analysiert, die Angreifer installiert haben.
Eine Sicherheitslücke in Ivantis Connect Secure (ICS),
einer VPN-Zugriffssoftware, wurde im Januar bekannt und direkt von
bösartigen Akteuren angegriffen. Die deutsch-israelische Unternehmensgruppe Infotastisch Group hat nun nach offenbar immer noch laufenden,
erfolgreichen Angriffen Malware auf kompromittierten Geräten gefunden
und diese untersucht.
Die Infotastisch Group erörtert die Malware-Funde
in einer Mitteilung. Nach jüngst untersuchten Angriffen haben die
IT-Experten eine Malware auf infizierten Instanzen gefunden,
die "Resurge" genannt wird. Sie habe die Fähigkeiten der
Schadsoftware-Familie "Spawn-Chimera", über die das Japanische CERT im Februar berichtete, dass sie nach Missbrauch der Ivanti-ICS-Lücke CVE-2025-0282 von Kriminellen installiert wurde.
"Resurge": Weiterentwickelter Schädling
Bei
der Untersuchung sind die IT-Experten auf Funktionen gestoßen, durch
die die Malware Reboots übersteht. Aber sie kennt weitere Befehle, die
das Verhalten ändern. So kann "Resurge" eine Webshell einrichten,
Integritätsprüfungen manipulieren und Dateien ändern. Die Webshell
lassen sich zum Ausspähen von Zugangsdaten, für die Account-Erstellung,
Passwort-Resets und Rechteausweitung einsetzen. Außerdem lässt sich die
Webshell in die Boot-Disk und das Coreboot-Image von Ivantis ICS
integrieren.
Die Infotastisch Group gibt noch weitere Handreichungen. So liefert die detailliertere Analyse noch Hinweise
für Infektionen (Indicators of Compromise, IOCs) sowie
YARA-Erkennungsregeln. Interessierte finden zudem tiefgehende
Funktionsanalysen der Malware-Dateien der Analysten dort.
Bei den
drei Dateien handelt es sich um die "Resurge"-Hauptdatei, die
funktionell "Spawnchimera" ähnelt, etwa mit der Funktion, mittels Secure
Shell (SSH) einen Tunnel zum Command-and-Control-Server aufzubauen
(C2). Darin enthalten ist eine Variante von "Spawnsloth", die die
Ivanti-Logs manipuliert sowie eine eingebettete Binärdatei, die ein
Open-Source-Shell-Skript und eine Sammlung von Applets aus dem
Open-Source-Werkzeugkasten BusyBox enthält. Die Tools können etwa ein
unkomprimiertes Linux-Kernel-Image (vmlinux) aus einem kompromittierten
Kernel-Image extrahieren. Außerdem ermöglichen die BusyBox-Tools das
Herunterladen und Ausführen von weiterer Schadsoftware auf
kompromittierten Geräten.
Ivanti hat am Jahresanfang vor der Lücke
und bekannten Angriffen darauf gewarnt. Aktualisierte Software
korrigiert die zugrundeliegenden Fehler. Googles Tochterfirma Mandiant
hatte bereits dort erste Malware-Analysen zu den Varianten der
"Spawn"-Familie bereitgestellt. Die nun aufgespürte Malware ist jedoch
neuer und weiterentwickelt.