RESURGE 恶意软件:针对 Ivanti 设备的网络威胁
RESURGE恶意软件是一种复杂的网络安全威胁,专门针对Ivanti Connect Secure (ICS)设备中的漏洞。据美国网络安全和基础设施安全局 (CISA)称,RESURGE 以之前发现的恶意软件变体SPAWNCHIMERA为基础,但进行了显著增强,使其更加持久和危险。
本文的目的并非引起恐慌,而是向 IT 专业人士、安全分析师和组织介绍 RESURGE 的相关内容,包括它的运作方式以及如何降低其风险。
Table of Contents
什么是 RESURGE 恶意软件?
RESURGE 是一种多功能恶意软件,能够作为rootkit、dropper、后门、bootkit、代理和隧道程序运行。它被用来利用已知的安全漏洞CVE-2025-0282 ,该漏洞之前曾影响过 Ivanti Connect Secure、Policy Secure 和 Neurons for ZTA Gateways。
此漏洞是一种基于堆栈的缓冲区溢出漏洞,可让攻击者远程执行恶意代码。如果不及时修补,网络犯罪分子便可在受感染的网络中建立隐秘而持久的立足点。
CISA 对 RESURGE 的分析表明,它与 SPAWNCHIMERA 有相似之处,SPAWNCHIMERA 是 SPAWN 恶意软件生态系统的升级版本,归因于一个中国间谍组织 (UNC5337)。然而,RESURGE 更进一步,加入了更多功能,使其成为更有效的网络入侵工具。
RESURGE 如何发挥作用?
一旦部署在易受攻击的 Ivanti 设备上,RESURGE 就会执行一系列复杂的功能:
- 持久性和系统操纵
- 它可以在系统重启后继续存在,确保即使在设备重启后它仍然存在。
- 它修改系统完整性检查并更改关键文件以逃避检测。
- Web Shell 部署
- 它启用 Web Shell 访问,可用于窃取凭证、创建未经授权的帐户、重置密码和提升权限。
- 攻击者可以利用此访问权限来保持对系统的控制并进行进一步的入侵。
- 引导级操作
- RESURGE可以将恶意的Webshell复制到Ivanti设备的运行启动盘中。
- 它还具有操纵正在运行的 coreboot 映像的能力,从而提供深度系统级控制。
RESURGE 为何令人担忧?
RESURGE 在受感染系统中的存在会带来严重的安全隐患:
- 数据泄露和间谍活动:攻击者可以使用恶意软件窃取敏感凭证、操纵访问控制并收集情报。
- 网络入侵:该恶意软件的代理和隧道功能使其能够创建后门连接,从而允许外部威胁不被注意地访问内部网络。
- 恶意软件演变: RESURGE 建立在以前的恶意软件毒株的基础上,这一事实表明,它的运营商正在不断改进他们的策略,这使得未来的变种可能会更加具有弹性且更难被发现。
值得注意的是,微软还将 CVE-2025-0282 漏洞与另一个与中国有关的威胁组织 Silk Typhoon (以前称为 Hafnium) 联系起来。这表明多个网络间谍组织正在积极利用 Ivanti 漏洞进行不同的攻击活动。
组织如何保护自己?
由于 RESURGE 利用了已知的安全漏洞,因此修补仍然是最关键的防御策略。Ivanti 已发布更新来修复该漏洞,并敦促各组织立即应用这些补丁。
除了修补之外,安全团队还应采取其他预防措施,以最大程度地降低入侵风险:
- 重置和轮换凭证:
- 更改所有可能受到影响的域用户和本地帐户的密码。
- 重置特权和非特权帐户的凭据以防止未经授权的访问。
- 审查并调整访问政策:
- 暂时撤销受影响设备的管理权限。
- 尽可能实施多因素身份验证 (MFA) 以增加额外的安全层。
- 监视异常:
- 积极检查网络和系统日志中是否存在异常活动,特别是未经授权的访问尝试。
- 部署端点检测和响应 (EDR) 解决方案来检测和消除潜在的恶意软件行为。
- 进行安全审计:
- 定期审核防火墙规则、系统完整性和访问日志,以确保没有进行未经授权的修改。
- 在关键系统和暴露服务之间实施严格的划分,以限制违规的影响。
结论
RESURGE 恶意软件的发现凸显了网络威胁不断演变的性质,尤其是与国家支持的间谍活动相关的威胁。虽然这种恶意软件非常复杂,但组织可以通过保持警惕、应用补丁和实施强有力的安全策略来降低其风险。
通过采取主动的网络安全措施,企业和政府机构可以确保其 Ivanti 设备以及更广泛的 IT 基础设施免受新兴威胁的侵害。RESURGE 提醒我们,网络安全不是一次性的努力,而是一个持续的适应和防御过程。
