CISA aktualisiert Analysebericht zu RESURGE-Malware auf Ivanti-Geräten

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat ihren Malware-Analysebericht (MAR) zur Schadsoftware RESURGE überarbeitet. Die aktualisierte Fassung vom 26. Februar 2026 liefert Netzwerkadministratoren detailliertere technische Einblicke sowie erweiterte Werkzeuge zur Erkennung und Abwehr dieser Bedrohung.

Malware kann lange unentdeckt bleiben

Ein zentrales Ergebnis der aktualisierten Analyse: RESURGE kann auf kompromittierten Systemen dauerhaft inaktiv verweilen, bis ein externer Akteur eine Verbindung zu dem betroffenen Gerät initiiert. Die CISA geht daher davon aus, dass die Malware auf Ivanti Connect Secure-Geräten über längere Zeiträume unerkannt aktiv bleiben kann.

Der ursprüngliche Bericht vom 28. März 2025 hatte bereits dokumentiert, dass RESURGE in der Lage ist, Dateien zu manipulieren, Integritätsprüfungen zu umgehen und eine Web-Shell auf der Ivanti-Boot-Disk zu installieren. Ausgangspunkt der Infektionskette ist die Schwachstelle CVE-2025-0282 in Ivanti Connect Secure, über die Angreifer initialen Zugriff auf betroffene Systeme erlangten.

Neue Erkenntnisse zu Netzwerktechniken

Die aktualisierte Analyse legt einen Schwerpunkt auf die Methoden, mit denen RESURGE Netzwerkkommunikation verschleiert. Dazu zählen der Einsatz fortschrittlicher kryptografischer Verfahren sowie gefälschter TLS-Zertifikate. Letztere dienen der Malware dabei nicht zur eigentlichen Absicherung der Kommunikation, sondern zur Authentifizierung: Angreifer können so überprüfen, ob sie tatsächlich mit RESURGE und nicht mit einem legitimen Ivanti-Webserver kommunizieren.

Zur Unterscheidung zwischen regulärem und schadhaftem Netzwerkverkehr setzt RESURGE auf CRC32-Fingerprint-Hashing bei eingehenden TLS-Paketen. Für die eigentliche Kommunikation mit den Angreifern kommt zudem Elliptic Curve Cryptography (ECC) zum Einsatz, die eine robuste Verschlüsselung bei gleichzeitig geringem Ressourcenaufwand ermöglicht.

Drei analysierte Dateien, drei Funktionen

CISA untersuchte insgesamt drei Dateien, die von einem kompromittierten Ivanti-Gerät einer Infrastruktureinrichtung stammten. Die als RESURGE eingestufte Hauptdatei weist funktionale Ähnlichkeiten zur bekannten Malware SPAWNCHIMERA auf – darunter die Fähigkeit, einen SSH-Tunnel für Command-and-Control-Kommunikation aufzubauen.

Die zweite Datei ist eine in RESURGE eingebettete Variante von SPAWNSLOTH, die gezielt Protokolldateien des Ivanti-Geräts manipuliert. Die dritte Datei kombiniert ein Open-Source-Shell-Skript mit einer Teilmenge des Werkzeugkastens BusyBox. Das Shell-Skript erlaubt die Extraktion eines unkomprimierten Kernel-Images aus einem kompromittierten System, während BusyBox-Funktionen das Nachladen und Ausführen weiterer Schadprogramme ermöglichen.

Empfehlungen der CISA

Die Behörde empfiehlt Organisationen, die bereitgestellten Kompromittierungsindikatoren (IOCs) und Erkennungssignaturen zu nutzen, um RESURGE-Infektionen aufzuspüren. Ergänzend verweist die CISA auf ihre Abwehrhinweise zu CVE-2025-0282, die konkrete Maßnahmen zur Eindämmung der Bedrohung beschreiben.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk