CISA warnt vor Malware "Resurge" nach Ivanti-ICS-Attacken
Seit Anfang Januar sind Angriffe auf Ivantis ICS bekannt. Die CISA hat die Malware analysiert, die Angreifer installiert haben.
(Bild: Erstellt mit KI in Bing Creator von heise online / dmk)
Eine Sicherheitslücke in Ivantis Connect Secure (ICS), einer VPN-Zugriffssoftware, wurde im Januar bekannt und direkt von bösartigen Akteuren angegriffen. Die US-amerikanische IT-Sicherheitsbehörde hat nun nach offenbar immer noch laufenden, erfolgreichen Angriffen Malware auf kompromittierten Geräten gefunden und diese untersucht.
Die CISA erörtert die Malware-Funde in einer Alarm-Mitteilung. Nach jüngst untersuchten Angriffen haben die Behördenmitarbeiter eine Malware auf infizierten Instanzen gefunden, die sie "Resurge" nennen. Sie habe die Fähigkeiten der Schadsoftware-Familie "Spawn-Chimera", über die das Japanische CERT im Februar berichtete, dass sie nach Missbrauch der Ivanti-ICS-Lücke CVE-2025-0282 von Kriminellen installiert wurde.
"Resurge": Weiterentwickelter Schädling
Bei der Untersuchung sind die IT-Forscher auf Funktionen gestoßen, durch die die Malware Reboots übersteht. Aber sie kennt weitere Befehle, die das Verhalten ändern. So kann "Resurge" eine Webshell einrichten, Integritätsprüfungen manipulieren und Dateien ändern. Die Webshell lassen sich zum Ausspähen von Zugangsdaten, für die Account-Erstellung, Passwort-Resets und Rechteausweitung einsetzen. Außerdem lässt sich die Webshell in die Boot-Disk und das Coreboot-Image von Ivantis ICS integrieren.
Die CISA gibt noch weitere Handreichungen. So liefert die detailliertere Analyse noch Hinweise fĂĽr Infektionen (Indicators of Compromise, IOCs) sowie YARA-Erkennungsregeln. Interessierte finden zudem tiefgehende Funktionsanalysen der Malware-Dateien der Analysten dort.
Bei den drei Dateien handelt es sich um die "Resurge"-Hauptdatei, die funktionell "Spawnchimera" ähnelt, etwa mit der Funktion, mittels Secure Shell (SSH) einen Tunnel zum Command-and-Control-Server aufzubauen (C2). Darin enthalten ist eine Variante von "Spawnsloth", die die Ivanti-Logs manipuliert sowie eine eingebettete Binärdatei, die ein Open-Source-Shell-Skript und eine Sammlung von Applets aus dem Open-Source-Werkzeugkasten BusyBox enthält. Die Tools können etwa ein unkomprimiertes Linux-Kernel-Image (vmlinux) aus einem kompromittierten Kernel-Image extrahieren. Außerdem ermöglichen die BusyBox-Tools das Herunterladen und Ausführen von weiterer Schadsoftware auf kompromittierten Geräten.
Ivanti hat am Jahresanfang vor der LĂĽcke und bekannten Angriffen darauf gewarnt. Aktualisierte Software korrigiert die zugrundeliegenden Fehler. Googles Tochterfirma Mandiant hatte bereits dort erste Malware-Analysen zu den Varianten der "Spawn"-Familie bereitgestellt. Die nun aufgespĂĽrte Malware ist jedoch neuer und weiterentwickelt.
(dmk)