今年1月資安業者Ivanti修補旗下SSL VPN系統Connect Secure重大層級漏洞CVE-2025-0282,後續資安業者Mandiant、日本電腦危機處理暨協調中心(JPCERT/CC)揭露相關攻擊行動,如今美國也公布相關調查結果,指出駭客使用的惡意軟體出現新的變種。
3月28日美國網路安全暨基礎設施安全局(CISA)發布惡意軟體攻擊警告,要企業組織對名為Resurge的惡意軟體提高警覺,因為攻擊者滲透受害組織的管道,就是針對尚未修補CVE-2025-0282的Ivanti Connect Secure(ICS)設備下手而得逞。
此惡意程式為JPCERT/CC揭露的SpawnChimera變種,Resurge具備SpawnChimera多種能力,其中一種是會讓ICS主機不斷重開機,然而CISA指出,Resurge具備其他功能,而會對受害組織造成更大的威脅。
這些功能包括:建立Web Shell、操控完整性檢查、竄改檔案。其中,駭客建立的Web Shell能挖掘帳密資料、建立新帳號、重設密碼,以及提升權限。此外,Resurge還會將Web Shell複製到開機磁碟,從而擺弄正在執行的coreboot映像檔。
究竟有多少企業組織受害?CISA並未說明,但他們提供了入侵指標(IoC),以及詳細的惡意軟體調查結果。
他們在一家受害的關鍵基礎設施(CI)環境當中,看到駭客部署的3個惡意檔案,當中包含前述的Resurge,以及SpawnSloth的變種程式。其中,攻擊者利用SpawnSloth使用SSH連線,建立C2通訊。
最後一個是駭客自製的二進位檔案,內有開源Shell指令碼與開機工具Busybox相關的小工具,主要功能。其中,Shell指令碼是用來擷取vmlinux映像檔,而BusyBox則是拿來下載有效酬載並執行。
