A RESURGE, az Ivanti eszközök láthatatlan kártevője – mire képes?
Ilyen eset például, amikor egy szervezet hálózatát észrevétlenül fertőzi meg egy rendkívül fejlett kártevő. A RESURGE nevű malware pontosan ebbe a kategóriába tartozik: a legújabb jelentések szerint hetekig, sőt akár hónapokig is rejtőzködhet Ivanti Connect Secure-eszközökön úgy, hogy közben nem derül ki a jelenléte. A kártékony program különféle támadási módokra képes, és kiemelten veszélyes, mert egy újabb nulladik napi (zero-day) sebezhetőséget használ ki: a CVE-2025-0282-t. Továbbá a támadások mögött egy kínai hackercsoport áll, akiket a szakemberek UNC5221 kódnéven tartanak számon.
Fejlett rejtőzködés és álhitelesítés
A RESURGE egy 32 bites Linux futtatható modullal dolgozik (libdsupgrade.so), amely képes rootkit-, bootkit-, hátsó ajtó (backdoor)-, dropper- és proxyfunkciók ellátására. Mivel passzív parancs- és vezérlő implantátum, nem indít automatikus hálózati kommunikációt: helyette türelmesen vár egy speciális bejövő TLS-kapcsolatra, amit csak a támadó indít el. Ez a stratégia lényegesen megnehezíti a hálózaton való azonosítást. Működésbe lépve a webfolyamatban beépül a fogadó rétegbe, hogy vizsgálja a beérkező TLS-csomagokat. Amint a támadó ujjlenyomatát felismeri, hitelesítési trükk következik: a támadók egy hamis Ivanti-tanúsítványt is használnak, hogy elkülönítsék magukat az igazi szervertől, méghozzá úgy, hogy azt a rendszer titkosítatlanul küldi – ez védekezési lehetőséget is ad, mivel kiszúrható a forgalomban.
Álcázott forgalom, tartós jelenlét
A hitelesítés után titkosított, Mutual TLS-alapú távoli kapcsolatot létesít a fertőzött eszköz és a támadó, mégpedig elliptikusgörbe-algoritmust használva. A statikus elemzések szerint az implantátum mindehhez a támadó saját titkosítási kulcsát kéri el, sőt egy beépített tanúsítványhitelesítő kulccsal is dolgozik. A kommunikáció emiatt megtévesztően hasonlít a szokványos TLS/SSH adatforgalomhoz, ezzel a trükkel a malware sokáig lappanghat.
Naplóhamisítás és rendszerfájl-átírás
A RESURGE implantátum részét képezi még a liblogblock.so nevű modul, amely főként a naplófájlokat manipulálja, így elrejti a támadó tevékenységét. Emellett a dsmain nevű komponens az extract_vmlinux.sh és BusyBox Unix segédprogramokat használja, hogy rendszerszintű fájlmanipulációt valósítson meg – ez lehetővé teszi a kártevő számára a tartós megmaradást a rendszer újraindítása után is.
Fenyegetés és védekezés
A RESURGE gyakorlatilag alvó állapotba kerülhet, és csak akkor aktiválódik, ha a támadó jelentkezik. Így észrevétlen marad, miközben továbbra is súlyos veszélyt jelent az Ivanti Connect Secure eszközöket használó szervezetek számára. Az amerikai kibervédelmi hatóság azt ajánlja, hogy a rendszergazdák az újonnan közzétett kompromittálódási jeleket (IoC-ket) használják fel a kártevő észleléséhez és eltávolításához.
A legutóbbi Windows 11 Insider Preview frissítések most komoly lendületet adnak a batch fájlok és CMD-szkriptek futtatásának biztonságában és sebességében...
🦠 Érdekesség, hogy 2026 első két hónapjában az Egyesült Államokban már 1 136 kanyarós megbetegedést regisztráltak, ami a tavalyihoz képest jóval gyorsabb terjedést jelez...
Jack Dorsey, a Block (korábban Square) alapítója nem kertelt: szerinte eljött az az idő, amikor a mesterséges intelligencia már valóban az emberek munkáját veszi át...
A Titan, a Szaturnusz legnagyobb holdja, eredetileg két ősi hold gigantikus ütközéséből születhetett, amely nemcsak a teljes holdrendszert formálta át, hanem közvetve a Szaturnusz ikonikus gyűrűinek születésére is hatással lehetett...
Elképesztő fotók érkeztek a James Webb-űrtávcsőtől: a Vela csillagképben, tőlünk nagyjából 2 300 000 000 000 000 000 km-re (azaz 5 000 fényévre) a PMR 1 nevű köd úgy néz ki, mintha egy átlátszó koponyában villámok járnák át az agytekervényeket...
Érdemes megvizsgálni, milyen új korszakot nyithat meg a Google legújabb beruházása Minnesota államban, ahol egy adatközpontot épít, amelyet szinte kizárólag tiszta energiával látnak el...
Az okostelefonok és számítógépek világa komoly átalakulás előtt áll: a várakozások szerint a készülékek kevesebb memóriával, szerényebb képességekkel, mégis jóval magasabb áron érkeznek majd 2026-ban...
Az MI fejlesztésében az utóbbi időben egyre élesebb a verseny, de most újabb fordulóponthoz érkeztünk: az OpenAI megállapodott az amerikai védelmi minisztériummal, hogy saját MI-modelleit az ügynökség rendszereibe telepítik...
Az MI világában új nagyhatalmi játszma bontakozik ki: a SoftBank 8 500 milliárd, az Nvidia 8 500 milliárd, az Amazon pedig 14 100 milliárd forintot fektet az OpenAI-ba...
🕵 Egy nagyszabású, egy évig tartó nyomozás végén harminc embert letartóztattak, 179 gyanúsítottat pedig összefüggésbe hoztak a The Com nevű online bűnözői csoporttal, amely gyerekek és tinédzserek ellen irányuló zsarolásban, erőszakos cselekményekben és gyermekpornográfia előállításában vett részt...
A Google új, a Chrome böngészőbe épülő védelmi megoldása meglepő egyszerűséggel foglalja össze a kvantumszámítógépes támadásokkal szemben ellenálló HTTPS-tanúsítványokat, miközben a felhasználók számára észrevétlen marad a rendszerfrissítés...
📶 Egy észak-koreai eredetű hackercsoport új, kifejezetten hálózattól elszigetelt (air-gapped) rendszerek feltörésére készült kártevőkkel folytat kibertámadásokat...
Érdemes megvizsgálni, hogy a vállalati informatikai biztonság mennyire fókuszál a szem előtt lévő rendszerekre: szerverekre, hálózatokra, felhasználói fiókokra, VPN-ekre vagy a felhőszolgáltatásokra...
Ja, mert hogy nyilván mindeközben a NASA megint belengette, hogy csak ne ácsingózzunk az új holdraszállásra, ugyanis az egész Artemis-program időrendje szétesett...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Castle Zombiestein – 3D FPS (iPhone/iPad)A Zombiestein egy pörgős akciójáték, amelyben a játékos Yuri Agron, azaz “Tarzan” bőrébe bújik, aki egy elit orosz Spetsnaz kommandós...
Jellemző példa erre, hogy több száz Google- és OpenAI-dolgozó aláírta azt a nyílt levelet, amelyben arra kérik cégeiket, hogy vállaljanak közös állásfoglalást az Anthropic mellett...
