Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Logiciel malveillant RESURGE

Logiciel malveillant RESURGE

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :
Français

Des chercheurs ont découvert une nouvelle souche de malware, RESURGE, déployée lors d'attaques exploitant une vulnérabilité de sécurité désormais corrigée dans les appliances Ivanti Connect Secure (ICS). Ce malware sophistiqué s'appuie sur les capacités de la variante SPAWNCHIMERA, mais introduit des commandes uniques qui modifient son comportement.

Une boîte à outils polyvalente et menaçante

RESURGE n'est pas un simple exploit : il possède de nombreuses fonctionnalités, notamment un rootkit, un dropper, une porte dérobée, un bootkit, un proxy et un tunneler. Ces capacités en font un outil redoutable pour les attaquants cherchant à maintenir la persistance et le contrôle des systèmes compromis.

La vulnérabilité exploitée : CVE-2025-0282

Le logiciel malveillant exploite CVE-2025-0282, une vulnérabilité de dépassement de mémoire tampon basée sur la pile qui affecte plusieurs produits Ivanti, notamment :

  • Ivanti Connect Secure (avant la version 22.7R2.5)
  • Ivanti Policy Secure (avant la version 22.7R1.2)
  • Ivanti Neurons pour passerelles ZTA (avant la version 22.7R2.3)

Cette faille permet l’exécution de code à distance, permettant aux attaquants de déployer des logiciels malveillants sophistiqués comme RESURGE.

L’écosystème des logiciels malveillants SPAWN

Les chercheurs en cybersécurité ont lié l'exploitation du CVE-2025-0282 à l'écosystème de logiciels malveillants SPAWN, qui comprend des composants tels que :

  • GÉNÉRATEUR
  • MOLÈNE À GRAPPER
  • ESCARGOT

Cet écosystème a été attribué à UNC5337, un groupe d'espionnage lié à la Chine connu pour ses opérations de cyberespionnage.

SPAWNCHIMERA : La menace évoluée

Une évolution notable de la chaîne d'attaque est la variante SPAWNCHIMERA, qui consolide les modules SPAWN individuels en un seul malware monolithique. Cette version apporte une amélioration significative :

  • Communication interprocessus via les sockets de domaine UNIX
  • Correction de la vulnérabilité CVE-2025-0282 pour empêcher les acteurs de menaces rivaux d'exploiter la même vulnérabilité

RESURGE : Un pas au-delà de SPAWNCHIMERA

La dernière itération, RESURGE ('libdsupgrade.so'), étend SPAWNCHIMERA avec trois commandes supplémentaires :

  • Persistance et manipulation du système : Il s'insère dans 'ld.so.preload', configure un shell Web, modifie les contrôles d'intégrité et modifie les fichiers.
  • Exploitation des informations d'identification et des privilèges – Permet l'utilisation du shell Web pour la collecte d'informations d'identification, la création de comptes, la réinitialisation des mots de passe et l'escalade des privilèges.
  • Persistance du démarrage – Copie le shell Web sur le disque de démarrage en cours d'exécution Ivanti et modifie l'image coreboot pour garantir un accès à long terme.

Résultats supplémentaires : SPAWNSLOTH et DSMain

Les chercheurs ont également identifié deux artefacts malveillants supplémentaires provenant d'un périphérique ICS compromis au sein d'une infrastructure critique :

  • SPAWNSLOTH ('liblogblock.so') – Une variante intégrée à RESURGE qui manipule les journaux des périphériques Ivanti pour couvrir les pistes.
  • DSMain – Un binaire Linux ELF 64 bits personnalisé contenant un script shell open source et des composants de BusyBox, permettant l'extraction du noyau et d'autres compromissions du système.

Exploitation zero-day par un autre acteur malveillant

Notamment, la faille CVE-2025-0282 a également été exploitée comme une faille zero-day par Silk Typhoon (anciennement Hafnium ), un autre groupe de cyberespionnage lié à la Chine. Cela souligne la grande valeur de cette vulnérabilité auprès des acteurs malveillants soutenus par des États.

Stratégies d’atténuation : garder une longueur d’avance sur la menace

Compte tenu de l'évolution rapide de ces variantes de logiciels malveillants, les organisations doivent prendre des mesures immédiates pour protéger leurs instances Ivanti :

  • Correctif vers la dernière version pour fermer la vulnérabilité CVE-2025-0282.
  • Réinitialiser les informations d’identification pour les comptes privilégiés et non privilégiés.
  • Faites pivoter les mots de passe pour tous les comptes de domaine et locaux.
  • Examinez les politiques d’accès et révoquez temporairement les privilèges des appareils concernés.
  • Le moniteur tient compte de tout signe d’activité anormale.

Alors que les attaquants affinent activement leurs techniques, des mesures de défense proactives sont essentielles pour protéger les infrastructures critiques et les données sensibles.

Tendance

Le plus regardé

Chargement...