Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало обновленный технический разбор вредоносного ПО RESURGE, применяемого в целевых атаках на VPN-шлюзы Ivanti Connect Secure через уязвимость нулевого дня CVE-2025-0282. Речь идет о сложном многофункциональном импланте, совмещающем способности руткита, буткита и скрытого бэкдора и ориентированном на долгосрочное скрытое присутствие в сетевой инфраструктуре.
RESURGE и CVE-2025-0282: контекст атак на Ivanti Connect Secure
По данным CISA, вредонос RESURGE был впервые задокументирован еще в марте предыдущего года, когда специалисты зафиксировали его способность переживать перезагрузки устройств, создавать web-shell для кражи учетных данных, заводить новые учетные записи, сбрасывать пароли и выполнять повышение привилегий на скомпрометированных устройствах Ivanti Connect Secure.
Компания Mandiant связывает эксплуатацию критической уязвимости CVE-2025-0282 как минимум с середины декабря 2024 года с хак-группой, ассоциируемой с Китаем и отслеживаемой под идентификатором UNC5221. Поскольку Ivanti Connect Secure широко применяется в крупных корпорациях и госструктурах как SSL VPN-шлюз, успешная эксплуатация данной брешьи дает атакующим прямой доступ к внутренним сетям, минуя традиционные периметровые средства защиты.
Технический профиль малвари RESURGE: руткит, буткит и пассивный центр управления
Согласно анализу CISA, RESURGE представлен в виде 32-битной библиотеки формата Linux Shared Object под именем libdsupgrade.so. Имплант загружается в web-процесс устройства Ivanti и выполняет сразу несколько ролей: руткит (скрытие активности), бэкдор (неавторизованный доступ), дроппер (загрузка дополнительных компонентов) и модуль для проксирования и туннелирования трафика.
Ключевая особенность RESURGE — пассивная схема связи с управляющим сервером (C2). Вместо типичного для многих троянов периодического выхода на C2, имплант бесконечно ожидает определенного входящего TLS-соединения. Такая модель существенно усложняет выявление по сетевым поведенческим признакам и позволяет обходить системы мониторинга исходящего трафика и строгие политики egress-фильтрации.
Перехват TLS и уникальная идентификация управляющих подключений
После внедрения в процесс web-сервера RESURGE перехватывает системный вызов accept() и анализирует входящие TLS-пакеты еще до того, как они будут обработаны легитимным веб-сервером Ivanti. Для выявления «правильных» соединений используется хеширование TLS-отпечатка через CRC32: если расчетный хеш не совпадает с ожидаемым значением, соединение прозрачно передается штатному серверу, а пользователь не замечает присутствия малвари.
Для аутентификации оператора злоумышленники применяют поддельный сертификат Ivanti. Он используется не для шифрования канала, а как маркер, подтверждающий, что с устройством взаимодействует именно оператор импланта, а не обычный клиент. Важный нюанс: этот сертификат передается в сети в открытом виде, и CISA подчеркивает, что защитники могут использовать его как сетевую сигнатуру и индикатор компрометации при анализе трафика.
После проверки TLS-отпечатка и сертификата устанавливается защищенное соединение по схеме Mutual TLS с использованием шифрования на основе эллиптических кривых. Статический анализ показал, что RESURGE запрашивает у удаленного оператора EC-ключ, а затем проверяет его подлинность при помощи жестко закодированного в бинарнике ключа удостоверяющего центра. Это снижает риск перехвата или подмены управляющего канала даже при его обнаружении.
Дополнительные компоненты: SpawnSloth и модификация прошивки coreboot
Помимо самого импланта RESURGE, эксперты CISA проанализировали еще два связанных файла. Первый — вариант малвари SpawnSloth (библиотека liblogblock.so), предназначенный для затирания логов на скомпрометированных устройствах. Это напрямую усложняет форензику и восстановление полной картины атаки, поскольку журналы аутентификации, сетевые события и системные логи могут быть частично или полностью удалены.
Второй компонент — бинарный файл dsmain, использующий опенсорсный скрипт extract_vmlinux.sh и инструменты BusyBox для расшифровки, модификации и повторного шифрования образов прошивки coreboot. Тем самым злоумышленники добиваются буткит-персистентности: вредоносный код закрепляется на уровне прошивки, может переживать переустановку операционной системы и стандартные процедуры восстановления устройства. В подобных сценариях полноценная очистка системы нередко требует перепрошивки или физической замены оборудования.
Риски для организаций и практические рекомендации по защите
Комбинация критической уязвимости CVE-2025-0282, пассивной модели C2 и закрепления в прошивке делает RESURGE особенно опасным для организаций, полагающихся на Ivanti Connect Secure как на ключевой элемент удаленного доступа. Имплант может находиться в «спящем» режиме неделями и месяцами, дожидаясь входящего управляющего соединения, и при этом практически не выдавать себя в логах и сетевой телеметрии.
Основные рекомендации для владельцев устройств Ivanti Connect Secure включают: немедленное применение актуальных патчей, закрывающих CVE-2025-0282; сравнение конфигураций и образов прошивки с эталонными; использование индикаторов компрометации, опубликованных CISA и другими профильными организациями; мониторинг TLS-трафика на наличие аномальных сертификатов и нетипичных схем рукопожатия; контроль целостности логов и внедрение отдельного централизованного логирования вне атакуемого устройства.
В случае подозрения на компрометацию стоит рассматривать не только переустановку ПО на устройстве, но и проверку или перепрошивку coreboot, массовую смену учетных данных администраторов и VPN-пользователей, аудит созданных и измененных учетных записей, а также временное усиление сегментации сети вокруг VPN-шлюзов.
Сценарий с RESURGE демонстрирует, как угрозы для инфраструктурных устройств — таких как VPN-шлюзы и сетевые апплаиансы — эволюционируют от простых эксплойтов к многоуровневым кампаниям с буткит-персистентностью и пассивным управлением. Организациям имеет смысл пересмотреть приоритеты в управлении уязвимостями, уделяя особое внимание пограничным устройствам, регулярно отслеживать бюллетени CISA и поставщиков, а также инвестировать в мониторинг сетевого трафика и контроль целостности прошивок. Чем раньше будут обнаружены подобные импланты, тем выше шансы избежать долгосрочного скрытого доступа к критическим ресурсам.
