【 資安警訊 】- 惡意軟體 Resurge 鎖定 Ivanti 的 SSL VPN 漏洞而來
發布編號:OIS-CTI-2025-04-001
情資來源:iThome、NICS、Ivanti
事件類型:漏洞警訊公告
內容說明:
鎖定Ivanti SSL VPN 系統資安漏洞 CVE-2025-0282 的攻擊行動仍持續出現,而且,駭客發展出新的惡意程式 Resurge,運用此漏洞對攻擊目標進行多層次的滲透與破壞。
圖片來源:IThome
今年 1 月資安業者 Ivanti 修補旗下 SSL VPN 系統 Connect Secure 重大層級漏洞 CVE-2025-0282,後續資安業者 Mandiant、日本電腦危機處理暨協調中心(JPCERT/CC)揭露相關攻擊行動,如今美國也公布相關調查結果,指出駭客使用的惡意軟體出現新的變種。
3 月 28 日美國網路安全暨基礎設施安全局(CISA)發布惡意軟體攻擊警告,要企業組織對名為Resurge 的惡意軟體提高警覺,因為攻擊者滲透受害組織的管道,就是針對尚未修補CVE-2025-0282 的 Ivanti Connect Secure(ICS)設備下手而得逞。
此惡意程式為 JPCERT/CC 揭露的 SpawnChimera 變種,Resurge 具備 SpawnChimera 多種能力,其中一種是會讓 ICS 主機不斷重開機,然而 CISA 指出,Resurge 具備其他功能,而會對受害組織造成更大的威脅。
這些功能包括:建立 Web Shell、操控完整性檢查、竄改檔案。其中,駭客建立的 Web Shell 能挖掘帳密資料、建立新帳號、重設密碼,以及提升權限。此外,Resurge 還會將 Web Shell 複製到開機磁碟,從而擺弄正在執行的 coreboot 映像檔。
究竟有多少企業組織受害?CISA 並未說明,但他們提供了入侵指標(IoC),以及詳細的惡意軟體調查結果。
他們在一家受害的關鍵基礎設施(CI)環境當中,看到駭客部署的3個惡意檔案,當中包含前述的Resurge,以及 SpawnSloth 的變種程式。其中,攻擊者利用 SpawnSloth 使用 SSH 連線,建立C2 通訊。
最後一個是駭客自製的二進位檔案,內有開源 Shell 指令碼與開機工具 Busybox 相關的小工具,主要功能。其中,Shell 指令碼是用來擷取 vmlinux 映像檔,而 BusyBox 則是拿來下載有效酬載並執行。
影響平台:
Ivanti Connect Secure
Ivanti Policy Secure
Ivanti Neurons for ZTA gateways
建議措施:
Ivanti Connect Secure 22.7R2 至 22.7R2.4 建議升版至 22.7R2.5
Ivanti Policy Secure 22.7R1 至 22.7R1.2 建議升版至 22.7R1.3
Ivanti Neurons for ZTA gateways 22.7R2 至 22.7R2.3 建議升版至 22.8R2
參考連結 :
https://www.ithome.com.tw/news/168184