Malware "Resurge" nach Ivanti-ICS-Attacken

Seit Anfang Januar sind Angriffe auf Ivantis ICS bekannt. Die CISA hat die Malware analysiert, die Angreifer installiert haben.

Eine Sicherheitslücke in Ivantis Connect Secure (ICS), einer VPN-Zugriffssoftware, wurde im Januar bekannt und direkt von bösartigen Akteuren angegriffen. Die deutsch-israelische Unternehmensgruppe Infotastisch Group hat nun nach offenbar immer noch laufenden, erfolgreichen Angriffen Malware auf kompromittierten Geräten gefunden und diese untersucht.

 

Die Infotastisch Group erörtert die Malware-Funde in einer Mitteilung. Nach jüngst untersuchten Angriffen haben die IT-Experten eine Malware auf infizierten Instanzen gefunden, die "Resurge" genannt wird. Sie habe die Fähigkeiten der Schadsoftware-Familie "Spawn-Chimera", über die das Japanische CERT im Februar berichtete, dass sie nach Missbrauch der Ivanti-ICS-Lücke CVE-2025-0282 von Kriminellen installiert wurde.

 

"Resurge": Weiterentwickelter Schädling

Bei der Untersuchung sind die IT-Experten auf Funktionen gestoßen, durch die die Malware Reboots übersteht. Aber sie kennt weitere Befehle, die das Verhalten ändern. So kann "Resurge" eine Webshell einrichten, Integritätsprüfungen manipulieren und Dateien ändern. Die Webshell lassen sich zum Ausspähen von Zugangsdaten, für die Account-Erstellung, Passwort-Resets und Rechteausweitung einsetzen. Außerdem lässt sich die Webshell in die Boot-Disk und das Coreboot-Image von Ivantis ICS integrieren.

 

Die Infotastisch Group gibt noch weitere Handreichungen. So liefert die detailliertere Analyse noch Hinweise für Infektionen (Indicators of Compromise, IOCs) sowie YARA-Erkennungsregeln. Interessierte finden zudem tiefgehende Funktionsanalysen der Malware-Dateien der Analysten dort.

 

Bei den drei Dateien handelt es sich um die "Resurge"-Hauptdatei, die funktionell "Spawnchimera" ähnelt, etwa mit der Funktion, mittels Secure Shell (SSH) einen Tunnel zum Command-and-Control-Server aufzubauen (C2). Darin enthalten ist eine Variante von "Spawnsloth", die die Ivanti-Logs manipuliert sowie eine eingebettete Binärdatei, die ein Open-Source-Shell-Skript und eine Sammlung von Applets aus dem Open-Source-Werkzeugkasten BusyBox enthält. Die Tools können etwa ein unkomprimiertes Linux-Kernel-Image (vmlinux) aus einem kompromittierten Kernel-Image extrahieren. Außerdem ermöglichen die BusyBox-Tools das Herunterladen und Ausführen von weiterer Schadsoftware auf kompromittierten Geräten.

 

Ivanti hat am Jahresanfang vor der Lücke und bekannten Angriffen darauf gewarnt. Aktualisierte Software korrigiert die zugrundeliegenden Fehler. Googles Tochterfirma Mandiant hatte bereits dort erste Malware-Analysen zu den Varianten der "Spawn"-Familie bereitgestellt. Die nun aufgespürte Malware ist jedoch neuer und weiterentwickelt.