概要

CISA（米国のサイバーセキュリティとインフラストラクチャセキュリティ庁）は、Ivanti Connect Secure環境で使用されたマルウェアの変種である’Resurge’がデバイス上で検出されないまま存在する可能性があることを警告しました。

背景

CISAは2025年3月に、CVE-2025-0282と呼ばれるスタックベースのバッファオーバーフロー脆弱性を悪用した攻撃について警告しました。この脆弱性はIvanti Connect Secureおよび他のIvanti製品の特定のバージョンで見つかりました。

詳細

CISAは、ハッカーがこの脆弱性を利用して初期アクセスを獲得した後、重要なインフラストラクチャプロバイダーのIvanti Connect Secureデバイスから3つのサンプルを分析しました。その結果、Resurgeはデバイス上で潜在的に存在し続けることが判明しました。

脅威の詳細

Mandiantリサーチャーは2025年1月に、中国関連の脅威アクターがCVE-2025-0282を悪用していることを確認しました。このグループはUNC5337と追跡されており、Ivanti脆弱性を2024年に悪用したUNC5221との関連があると疑われています。

Resurgeの機能

• CISAによると、最初のファイルはSpawnchimeraというマルウェアに類似した機能を持っています。コマンド＆コントロール目的でSecure Shellトンネルが作成されます。
• 2025年の分析では、Resurgeにはファイルの変更、整合性チェックの操作、およびIvantiブートディスクにコピーされるウェブシェルの生成を可能にするコマンドが含まれていることが示されました。
• 2つ目のファイルはSpawnslothというマルウェアのバリエーションであり、Ivantiデバイスログを改ざんします。
• 3つ目のファイルはオープンソースツールBusyBoxから派生した一部のアプリレットとシェルスクリプトを持つバイナリです。ハッカーはこのツールを利用して、侵害されたデバイスにペイロードをダウンロードおよび実行することができます。

CISAからの警告

CISAはセキュリティチームに対して、Resurgeが広範囲で検出されていない可能性があるため、システムの侵害状況を確認するよう呼びかけています。

元記事: https://www.cybersecuritydive.com/news/cisa-resurge-malware-undetected-Ivanti/813373/