Sikkerhedsforskere har identificeret Ivanti RESURGE-malware, som stadig findes på kompromitterede Connect Secure VPN-enheder. Truslen ser ud til at kunne forblive skjult i berørte systemer, hvilket gør det muligt for angribere at genaktivere adgang længe efter det oprindelige indbrud.
Opdagelsen vækker bekymring blandt organisationer, der bruger Ivanti Connect Secure-enheder til at håndtere fjernadgang til interne netværk. Selv efter at sikkerhedsopdateringer er blevet installeret, kan tidligere kompromitterede systemer stadig indeholde skjulte malwarekomponenter.
Forskere advarer om, at disse implantater kan give angribere et langsigtet fodfæste i virksomhedsmiljøer.
Sårbarhed muliggjorde de første angreb
Angrebskampagnen begyndte med udnyttelse af en kritisk sårbarhed, der påvirkede Ivanti Connect Secure-enheder. Fejlen gjorde det muligt for angribere at køre kode eksternt på sårbare VPN-apparater.
Da disse systemer befinder sig ved kanten af virksomheders netværk, gav en vellykket udnyttelse direkte adgang til interne autentificeringstjenester og netværksinfrastruktur. Efter at angriberne havde opnået dette fodfæste, installerede de RESURGE-malwaren for at opretholde vedvarende adgang til systemet.
Edge-enheder som VPN-gateways er ofte attraktive mål, fordi de håndterer autentificeringstrafik og forbinder fjernbrugere med interne systemer.
RESURGE-malware giver vedvarende adgang
Ivanti RESURGE-malwaren fungerer som en vedvarende bagdør, der giver angribere fortsat adgang til kompromitterede enheder. Når malwaren først er installeret, kan trusselsaktører udføre flere administrative handlinger på systemet.
Angribere kan indsamle loginoplysninger, oprette nye brugerkonti, nulstille adgangskoder og hæve deres egne rettigheder. Disse muligheder gør det muligt at bevare kontrollen over enheden og potentielt bevæge sig dybere ind i netværket.
Sikkerhedsanalytikere bemærker, at angribere ofte bruger kompromitterede edge-enheder som udgangspunkt for bredere angreb mod intern infrastruktur.
Skjult malware undgår opdagelse
En af de mest bekymrende egenskaber ved RESURGE er dens evne til at forblive skjult i kompromitterede systemer. I stedet for konstant at kommunikere med eksterne servere venter malwaren på særligt udformet netværkstrafik, før den aktiveres.
Dette design hjælper implantatet med at undgå opdagelse af traditionelle overvågningssystemer. Da det ikke løbende genererer mistænkelig aktivitet, kan sikkerhedsteams overse kompromitteringen under rutinemæssig overvågning.
Forskere siger, at denne adfærd gør det muligt for angribere at vende tilbage til tidligere kompromitterede enheder måneder efter det oprindelige brud.
Myndigheder advarer om fortsat risiko
Cybersikkerhedsmyndigheder har udsendt opdateret vejledning, der advarer organisationer om, at tidligere kompromitterede Ivanti-enheder stadig kan indeholde skjulte implantater. Selv systemer, der har modtaget sikkerhedsopdateringer, kan være påvirket, hvis angribere installerede malware før patchen blev anvendt.
Sikkerhedseksperter anbefaler, at organisationer udfører dybere integritetskontroller af de berørte enheder. I nogle tilfælde kan det være nødvendigt at geninstallere systemer fra pålidelige systembilleder for at sikre, at der ikke længere findes vedvarende malware.
Organisationer bør også gennemgå adgangslogfiler og overvåge autentificeringsaktivitet for usædvanlig adfærd, der kan indikere fortsat adgang for angribere.
Konklusion
Opdagelsen af Ivanti RESURGE-malware understreger de langsigtede risici ved angreb på netværkets edge-enheder. Ved at udnytte en kritisk sårbarhed og installere skjulte implantater kan angribere bevare adgang længe efter det oprindelige indbrud.
Organisationer, der anvender Ivanti Connect Secure-enheder, bør gennemføre grundige sikkerhedskontroller og sikre, at deres systemer er fuldstændigt renset. Uden en dybere undersøgelse kan skjult malware gøre det muligt for angribere at genvinde adgang til virksomhedsnetværk måneder efter den oprindelige kompromittering.
0 svar til “Ivanti RESURGE-malware fundet skjult på Connect Secure-enheder”