Một biến thể mã độc mới mang tên RESURGE đang tích cực nhắm mục tiêu vào các thiết bị Ivanti Connect Secure. Mã độc này khai thác một lỗ hổng zero-day nghiêm trọng, khiến Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Hoa Kỳ (CISA) phải đưa ra cảnh báo chính thức.

Mã độc RESURGE được thiết kế để duy trì hoạt động ngay cả sau khi khởi động lại hệ thống, đánh cắp thông tin đăng nhập và giữ vững vị thế trong hệ thống bị xâm nhập rất lâu sau cuộc tấn công ban đầu.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-0282

Vector tấn công chính là CVE-2025-0282, một lỗ hổng tràn bộ đệm dựa trên stack (stack-based buffer overflow) ảnh hưởng đến Ivanti Connect Secure, Policy Secure và ZTA Gateways. Lỗ hổng CVE nghiêm trọng này cho phép kẻ tấn công thực thi mã từ xa trên thiết bị mục tiêu.

Trong một cuộc tấn công tràn bộ đệm dựa trên stack, kẻ tấn công gửi nhiều dữ liệu hơn khả năng chứa của bộ đệm bộ nhớ. Điều này làm hỏng bộ nhớ lân cận và cho phép chúng thực thi mã tùy ý trên thiết bị mục tiêu.

CISA đã chính thức thêm CVE-2025-0282 vào Danh mục các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities Catalog) vào ngày 8 tháng 1 năm 2025. Việc khai thác thực tế lần đầu tiên được quan sát vào tháng 12 năm 2024.

Các sản phẩm Ivanti Connect Secure và các sản phẩm liên quan được sử dụng rộng rãi làm cổng truy cập từ xa an toàn trong các doanh nghiệp và cơ quan, khiến chúng trở thành mục tiêu giá trị cho các mối đe dọa mạng.

Để biết thêm chi tiết về các lỗ hổng đã bị khai thác, có thể tham khảo Danh mục KEV của CISA.

Mã Độc RESURGE và Hệ Sinh Thái Tấn Công

Các nhà phân tích của CISA đã xác định mã độc RESURGE sau khi kiểm tra ba tệp được thu hồi từ một thiết bị Ivanti Connect Secure thuộc một tổ chức cơ sở hạ tầng quan trọng, theo báo cáo phân tích mã độc của CISA. Các tác nhân đe dọa đã sử dụng CVE-2025-0282 để giành quyền truy cập ban đầu.

Cùng với RESURGE, các nhà nghiên cứu đã tìm thấy một biến thể của SPAWNSLOTH, một công cụ giả mạo nhật ký được thiết kế để xóa bằng chứng xâm nhập khỏi nhật ký thiết bị Ivanti. Ngoài ra còn có một binary tùy chỉnh tên “dsmain”, đóng gói các tiện ích BusyBox để giải mã và đóng gói lại các hình ảnh coreboot.

Ba thành phần này tạo thành một bộ công cụ tấn công toàn diện, hỗ trợ tối đa cho kẻ tấn công:

• Một thành phần giành quyền truy cập ban đầu vào hệ thống.
• Một thành phần xóa dấu vết và bằng chứng xâm nhập.
• Một thành phần xây dựng lại lõi hệ thống để duy trì quyền truy cập lâu dài.

Mã độc RESURGE được xây dựng trực tiếp dựa trên SPAWNCHIMERA, một loại mã độc đã biết thuộc họ SPAWN có khả năng tồn tại sau khi hệ thống khởi động lại.

Tệp RESURGE, được xác định là “libdsupgrade.so”, giới thiệu ba lệnh bổ sung. Những lệnh này mở rộng đáng kể khả năng của mã độc RESURGE so với phiên bản tiền nhiệm.

CISA mô tả RESURGE là sự kết hợp của rootkit, dropper, backdoor, bootkit, proxy và tunneler. Điều này có nghĩa là một tệp duy nhất cung cấp cho kẻ tấn công gần như mọi thứ cần thiết để kiểm soát hoàn toàn một thiết bị bị xâm nhập. Đây là một mối đe dọa mạng cực kỳ nguy hiểm.

Phạm Vi Tác Động của Mã Độc RESURGE

Phạm vi của mối đe dọa này rất đáng kể. Vì Ivanti Connect Secure hoạt động như một cổng VPN cho hàng nghìn tổ chức, một sự xâm nhập thành công có thể phơi bày toàn bộ mạng lưới doanh nghiệp từ bên trong.

Khi mã độc RESURGE chiếm quyền điều khiển, kẻ tấn công có thể thu thập thông tin đăng nhập, tạo tài khoản người dùng trái phép, đặt lại mật khẩu và leo thang đặc quyền của chúng. Tất cả những hành động này thường không kích hoạt các cảnh báo sẽ báo hiệu một vụ xâm nhập.

Cơ Chế Duy Trì Quyền Truy Cập và Né Tránh Phát Hiện

Điều khiến mã độc RESURGE đặc biệt khó gỡ bỏ là mức độ nó xâm nhập sâu vào hệ thống bị xâm nhập.

Mã độc này tự chèn vào tệp “ld.so.preload”, buộc nó phải tải khi khởi động trước hầu hết các tiến trình khác trên thiết bị. Vị trí tải sớm này cung cấp cho mã độc RESURGE quyền kiểm soát trực tiếp hệ thống ngay từ khi thiết bị bật nguồn, khiến nó trở nên vô hình đối với hầu hết các công cụ quét tiêu chuẩn.

Ngoài việc duy trì quyền truy cập ở cấp độ khởi động, RESURGE còn thiết lập một web shell — một script nhẹ được sử dụng làm giao diện lệnh từ xa — và sao chép nó trực tiếp vào đĩa khởi động của Ivanti.

Sau đó, nó sửa đổi hình ảnh coreboot, thành phần khởi động thiết bị, nhúng mã ở một lớp đủ sâu để tồn tại qua hầu hết các lần cài đặt lại phần mềm. Điều này đảm bảo rằng mã độc RESURGE rất khó loại bỏ hoàn toàn khỏi hệ thống.

Kỹ Thuật Né Tránh Phát Hiện

Phân tích cập nhật của CISA cho thấy RESURGE sử dụng chứng chỉ TLS giả mạo và một lược đồ băm dấu vân tay CRC32 để phân tách lưu lượng thông thường khỏi các lệnh của kẻ tấn công.

Lưu lượng thông thường được chuyển tiếp đến máy chủ web Ivanti thực, trong khi chỉ các kết nối do kẻ tấn công kiểm soát mới kích hoạt hành động của mã độc. Điều này giữ cho RESURGE malware im lặng và ẩn mình trong quá trình hoạt động bình thường, làm tăng nguy cơ của mối đe dọa mạng này.

Biện Pháp Khắc Phục và Phòng Ngừa

CISA khuyến nghị các tổ chức bị ảnh hưởng thực hiện khôi phục cài đặt gốc (factory reset) như là bước đáng tin cậy nhất để xóa bỏ nhiễm trùng. Các hệ thống đám mây và ảo nên sử dụng một ảnh sạch bên ngoài đã được xác minh.

Tất cả thông tin đăng nhập tài khoản, cả có đặc quyền và không có đặc quyền, phải được đặt lại. Tài khoản krbtgt quản lý xác thực Kerberos nên được đặt lại hai lần do lịch sử hai mật khẩu của nó.

Các tổ chức nên tạm thời thu hồi quyền truy cập đối với các thiết bị bị ảnh hưởng, xem xét lại các chính sách truy cập và giám sát chặt chẽ các tài khoản quản trị để tìm dấu hiệu hoạt động trái phép.

Bất kỳ hành vi đáng ngờ nào cũng nên được báo cáo cho Trung tâm Điều hành 24/7 của CISA tại [email protected] hoặc theo số điện thoại (888) 282-0870.

Việc thực hiện các biện pháp này là tối quan trọng để giảm thiểu rủi ro từ mã độc RESURGE và các lỗ hổng zero-day tương tự, đồng thời tăng cường an ninh mạng tổng thể.