Friday Squid Blogging: Squid Fishing in Peru

Menace Numérique : L’Implant “Resurge” et ses Implications

Une grave menace a été identifiée concernant les appareils Ivanti Connect Secure, sous la forme d’un implant malveillant nommé “Resurge”. Cet implant permet à un attaquant de prendre le contrôle total de l’appareil. Il reste inactif jusqu’à la réception d’une connexion TLS entrante spécifique, puis inspecte le trafic, transmettant les données légitimes au serveur tout en assurant une persistance à long terme.

Points Clés :

• Contrôle Total : “Resurge” accorde à l’attaquant un contrôle complet sur les appareils Ivanti Connect Secure.
• Persistance Discrète : Il utilise des connexions TLS ciblées pour rester indétectable et maintenir son accès.
• Capacités Multiples : L’implant possède des fonctionnalités de rootkit, dropper, backdoor, bootkit, proxy et tunneler.
• Manipulation Avancée : Il peut intercepter des fonctions, modifier des fichiers, s’intégrer dans des processus, falsifier des contrôles d’intégrité et générer des certificats pour tromper les authentifications.
• Utilisation par des Acteurs Malveillants : Le groupe UNC5221 est connu pour exploiter des vulnérabilités dans les produits VPN d’Ivanti pour infiltrer des organisations.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques pour l’implant “Resurge” ou les vulnérabilités exploitées par UNC5221.

Recommandations :

L’article, axé sur la description de la menace, ne propose pas de recommandations directes de mitigation. Cependant, il est implicitement recommandé de surveiller et de sécuriser les appareils Ivanti Connect Secure contre de telles infiltrations. L’utilisation de ce type d’implant souligne l’importance d’une vigilance constante face aux menaces persistantes avancées.

Source