Управление кибербезопасности и инфраструктуры (CISA) выпустило отчет об анализе вредоносного ПО RESURGE, связанного с Ivanti Connect Secure

CISA опубликовала отчет о новом варианте вредоносного ПО под названием RESURGE, который разделяет возможности с SPAWNCHIMERA. RESURGE может переживать перезагрузки, но использует отличные команды для создания веб-шеллов, манипулирования проверками целостности и модификации файлов. Он связан с эксплуатацией уязвимости CVE-2025-0282, stack-based buffer overflow в устройствах Ivanti Connect Secure. Эта уязвимость была добавлена в каталог известных уязвимостей CISA 8 января 2025 года. Вредоносное ПО позволяет использовать веб-шеллы для сбора учетных данных, создания учетных записей и повышения привилегий. CISA рекомендует пользователям выполнить сброс до заводских настроек на затронутых устройствах для максимальной уверенности в ликвидации. Пользователи также должны сбросить учетные данные для привилегированных и непривилегированных учетных записей, включая всех пользователей домена и локальных учетных записей. Рекомендуется также пересмотреть политики доступа для отзыва или уменьшения привилегий для затронутых устройств. Организации должны мониторить связанные учетные записи на признаки несанкционированного доступа. Инциденты и аномальная активность должны быть сообщены в круглосуточный операционный центр CISA.