概要
CISA(サイバーセキュリティおよびインフラストラクチャセキュリティ庁)は、新しいマルウェアファミリーである RESURGE についての詳細を含む Malware Analysis Report (MAR) を発表しました。RESURGE は、Ivanti Connect Secure デバイスでゼロデイ脆弱性を利用しています。
RESURGE の特徴
CISAによると、RESURGE は以前の SPAWNCHIMERA マルウェアストレインの機能を継承し、システムの整合性チェックやコアセキュリティオペレーションを操作する新しいコマンドを導入しています。これにより、RESURGE は以下の能力を持っています:
- Web シェルを作成および展開
- インテグリティチェックを操作して検出を回避
- システムが動作している間に重要なファイルを変更
- Credential harvesting、アカウント作成、パスワードリセット、権限昇格の促進
さらに、RESURGE は直接 Web シェルを Ivanti デバイスのブートディスクにコピーし、corebootイメージを変更することで再起動後もアクティブな状態を維持します。
CVE-2025-0282 の悪用
RESURGE は CVE-2025-0282、Ivanti Connect Secure, Policy Secure, および ZTA Gateway プロダクトのスタックベースバッファオーバーフロー脆弱性を利用しています。この脆弱性により、リモート攻撃者は任意のコードを実行し、ターゲットシステムへの持続的なアクセスを得ることができます。
対策と検出ツール
CISA の MAR は技術的詳細、YARA 検出ルール、および SIGMA シグネチャを提供し、セキュリティチームが迅速に実装できるように公開されています。組織に対して CISA は以下の対策を推奨しています:
- 全影響を受けた装置のファクトリーリセット
- クラウドまたは仮想システムの場合、クリーンな外部イメージを使用してデバイスをリセット
- Ivanti の推奨復旧手順に従ってデバイスを復元する
- 特権と非特権アカウントのパスワードをリセットする
- ドメインおよびローカルアカウント(ゲスト、ヘルプアシスタント、システム、管理者、特に krbtgt)のパスワードをリセットする
- 影響を受けたシステムでのアカウント権限を見直し、再感染または側面移動を防ぐために削減または取り消す