Нульова уразливість CVE-2025-0282 в Ivanti Connect Secure стала основою для складної кампанії з використанням шкідливого імпланта RESURGE, орієнтованого на довготривалу та максимально приховану присутність у мережевій інфраструктурі. Оновлений технічний звіт Агентства з кібербезпеки та безпеки інфраструктури США (CISA) демонструє, що атаки спрямовані насамперед на VPN-шлюзи великих корпорацій і державних організацій.
Контекст атак: RESURGE, CVE-2025-0282 та група UNC5221
За даними CISA, перші сліди RESURGE фіксувалися ще в березні попереднього року. Тоді було виявлено, що імплант здатний переживати перезавантаження пристрою, розгортати web-shell для викрадення облікових даних, створювати нові облікові записи, скидати паролі та виконувати ескалацію привілеїв на пристроях Ivanti Connect Secure.
Аналітики Mandiant пов’язують активну експлуатацію критичної уразливості CVE-2025-0282 щонайменше з середини грудня 2024 року з угрупованням, асоційованим з Китаєм і відомим як UNC5221. Оскільки Ivanti Connect Secure широко використовується як SSL VPN-шлюз для віддаленого доступу, успішний злам таких пристроїв фактично дає зловмисникам привілейований вхід у внутрішні мережі організацій, оминаючи класичні периметрові засоби захисту.
Архітектура RESURGE: руткит, бэкдор, дроппер та тунелювання трафіку
Згідно з аналізом CISA, RESURGE реалізовано у форматі 32-бітної Linux-бібліотеки Shared Object під назвою libdsupgrade.so. Вона завантажується у web-процес пристрою Ivanti та поєднує функції руткита (маскування активності), бекдора (прихований віддалений доступ), дроппера (завантаження додаткових модулів) і компонента для проксування та тунелювання мережевого трафіку.
Ключова відмінність RESURGE — пассивна модель командно-контрольного центру (C2). На відміну від більшості троянів, які періодично підключаються до C2, імплант безкінечно очікує вхідного TLS-з’єднання від оператора. Такий підхід різко знижує помітність за мережевими аномаліями, обходить контроль вихідного трафіку та ускладнює виявлення за допомогою систем egress-фільтрації.
Перехоплення TLS, CRC32 та ідентифікація керуючих сесій
Після інтеграції у процес веб-сервера RESURGE перехоплює системний виклик accept() та аналізує всі вхідні TLS-з’єднання до того, як їх обробить легітимний веб-сервер Ivanti. Для фільтрації «своїх» сесій застосовується обчислення TLS-відбитка з використанням CRC32. Якщо хеш не відповідає очікуваному значенню, з’єднання прозоро передається штатному процесу без будь-яких помітних наслідків для користувача.
Для аутентифікації оператора використовується підроблений сертифікат Ivanti, який виступає не стільки засобом шифрування, скільки «міткою» легітимності керуючого клієнта. Важлива деталь: цей сертифікат передається мережею у відкритому вигляді, тому його можна застосовувати як мережевий індикатор компрометації при побудові сигнатур IDS/IPS та аналізі TLS-сесій.
Після валідації TLS-відбитка та сертифіката встановлюється Mutual TLS-канал з використанням криптографії на еліптичних кривих. Статичний аналіз показав, що RESURGE запитує в оператора EC-ключ і перевіряє його через жорстко закодований у бінарному файлі ключ центру сертифікації. Це суттєво ускладнює спроби перехоплення або підміни C2-трафіку навіть у разі його виявлення.
Додаткові модулі: SpawnSloth і модифікація coreboot як буткит
Окрім основного імпланта, CISA описує ще два пов’язані компоненти. Перший — варіант шкідливого ПЗ SpawnSloth у вигляді бібліотеки liblogblock.so, призначеної для затирання логів на скомпрометованих пристроях. Видалення або фальсифікація журналів аутентифікації, системних подій і мережевої активності істотно ускладнює цифрову форензику та реконструкцію хронології атаки.
Другий елемент — бінарний файл dsmain, який використовує скрипт extract_vmlinux.sh і утиліти BusyBox для розшифрування, модифікації та повторного шифрування образів прошивки coreboot. Такий підхід забезпечує буткит-персистентність: шкідливий код закріплюється в прошивці, зберігається після перевстановлення ОС та стандартних процедур відновлення, а повна санація часто вимагає перепрошивки або фізичної заміни пристрою.
Ризики для організацій та рекомендації з кіберзахисту
Поєднання нульової уразливості CVE-2025-0282, пасивного C2 та модифікації coreboot робить RESURGE особливо небезпечним для організацій, які покладаються на Ivanti Connect Secure як на критичний вузол віддаленого доступу. Імплант може працювати в «тихому» режимі протягом тривалого часу, практично не залишаючи слідів у логах і мережевій телеметрії, доки оператор не ініціює керуюче з’єднання.
Власникам VPN-шлюзів Ivanti доцільно оперативно встановити патчі, які закривають CVE-2025-0282; регулярно зіставляти конфігурації та образи прошивки з еталонними; застосовувати індикатори компрометації, опубліковані CISA та виробником; відстежувати TLS-трафік на предмет підозрілих сертифікатів і нетипових сценаріїв рукопотискань; контролювати цілісність логів і дублювати їх у централізоване сховище поза межами атакованого пристрою.
У випадку підозри на злам необхідно розглядати не тільки перевстановлення ПЗ, а й перевірку чи перепрошивку coreboot, масову зміну паролів адміністраторів і користувачів VPN, аудит усіх створених та модифікованих облікових записів, тимчасове посилення сегментації мережі навколо VPN-шлюзів. Варто переосмислити пріоритети в управлінні вразливостями, приділяючи першочергову увагу прикордонним пристроям, системно відслідковувати бюлетені CISA та оновлення постачальників, а також інвестувати в моніторинг мережевого трафіку та контроль цілісності прошивок. Чим швидше буде виявлено подібні імпланти, тим нижчим буде ризик довготривалого прихованого доступу до критичних ресурсів.
