RESURGE 惡意軟體:針對 Ivanti 裝置的網路威脅
RESURGE惡意軟體是一種複雜的網路安全威脅,專門針對Ivanti Connect Secure (ICS)裝置中的漏洞。據美國網路安全和基礎設施安全局 (CISA)稱,RESURGE 以先前發現的惡意軟體變種SPAWNCHIMERA為基礎,但進行了顯著的增強,使其更加持久、更加危險。
本文的目的並非引起恐慌,而是向 IT 專業人士、安全分析師和組織介紹 RESURGE 的相關內容,包括它的運作方式以及如何降低其風險。
Table of Contents
什麼是 RESURGE 惡意軟體?
RESURGE 是一種多功能惡意軟體,能夠作為rootkit、dropper、後門、bootkit、代理程式和隧道程式運作。它被用來利用已知的安全漏洞CVE-2025-0282 ,該漏洞之前影響了 Ivanti Connect Secure、Policy Secure 和 ZTA Gateways 的 Neurons。
此特定漏洞是基於堆疊的緩衝區溢位缺陷,可讓攻擊者遠端執行惡意程式碼。如果不加以修補,它可以為網路犯罪分子在受感染的網路中提供隱密而持久的立足點。
CISA 對 RESURGE 的分析表明,它與 SPAWNCHIMERA 有相似之處,SPAWNCHIMERA 是 SPAWN 惡意軟體生態系統的升級版,歸因於一個中國間諜組織 (UNC5337)。然而,RESURGE 更進一步,融入了更多功能,使其成為更有效的網路入侵工具。
RESURGE 如何發揮作用?
一旦部署在易受攻擊的 Ivanti 裝置上,RESURGE 就會執行一系列複雜的功能:
- 持久性和系統操縱
- 它可以在系統重新啟動後繼續存在,確保即使在設備重新啟動後它仍然存在。
- 它修改系統完整性檢查並更改關鍵檔案以逃避偵測。
- Web Shell 部署
- 它啟用 Web Shell 訪問,可用於竊取憑證、建立未經授權的帳戶、重設密碼和提升權限。
- 攻擊者可以利用此存取權限來保持對系統的控制並進行進一步的入侵。
- 引導級操作
- RESURGE可以將惡意的Webshell複製到Ivanti設備的執行啟動磁碟中。
- 它還具有操縱正在運行的 coreboot 映像的能力,從而提供深度系統級控制。
RESURGE 為何令人擔憂?
RESURGE 在受感染系統中的存在會帶來嚴重的安全隱患:
- 資料外洩和間諜活動:攻擊者可以使用惡意軟體竊取敏感憑證、操縱存取控制並收集情報。
- 網路入侵:此惡意軟體的代理和隧道功能使其能夠創建後門連接,從而允許外部威脅不被注意地存取內部網路。
- 惡意軟體演進: RESURGE 建立在以前的惡意軟體株的基礎上,這一事實表明,它的運營商正在不斷改進他們的策略,這使得未來的變種可能會更加有彈性且更難被發現。
值得注意的是,微軟也將 CVE-2025-0282 漏洞與另一個與中國相關的威脅組織 Silk Typhoon(前身為 Hafnium)連結起來。這顯示多個網路間諜組織正在積極利用 Ivanti 漏洞進行不同的攻擊活動。
組織如何保護自己?
由於 RESURGE 利用了已知的安全漏洞,因此修補仍然是最關鍵的防禦策略。 Ivanti 已發布更新來修復該漏洞,並敦促各組織立即套用這些修補程式。
除了修補之外,安全團隊還應採取其他預防措施,以最大程度地降低入侵風險:
- 重置和輪換憑證:
- 變更所有可能受到影響的網域使用者和本機帳戶的密碼。
- 重設特權和非特權帳戶的憑證以防止未經授權的存取。
- 檢討並調整造訪政策:
- 暫時撤銷受影響設備的管理權限。
- 盡可能實施多因素身份驗證 (MFA) 以增加額外的安全層。
- 監視異常:
- 積極檢查網路和系統日誌中是否有異常活動,特別是未經授權的存取嘗試。
- 部署端點偵測和回應 (EDR) 解決方案來偵測和消除潛在的惡意軟體行為。
- 進行安全審計:
- 定期審核防火牆規則、系統完整性和存取日誌,以確保沒有未經授權的修改。
- 在關鍵系統和暴露服務之間實施嚴格的劃分,以限制違規的影響。
結論
RESURGE 惡意軟體的發現凸顯了網路威脅不斷演變的性質,尤其是與國家支持的間諜活動相關的威脅。雖然這種惡意軟體非常複雜,但組織可以透過保持警惕、應用修補程式和實施強有力的安全策略來降低其風險。
透過採取主動的網路安全措施,企業和政府實體可以確保他們的 Ivanti 設備以及更廣泛的 IT 基礎設施免受新興威脅的侵害。 RESURGE 提醒我們,網路安全不是一次性的努力,而是持續的適應和防禦過程。
