『Resurge』マルウェアはデバイスで検出されない状態を保つ可能性がある

サイバーセキュリティ・インフラストラクチャセキュリティ庁は木曜日、Ivanti Connect Secure環境への攻撃で以前に使用されたマルウェアの亜種がシステムで検出されない状態を保つ可能性があると警告した。 

2025年3月、CISAはResurgeという名称のマルウェアについて警告を発行した。これはIvanti Connect Secureの特定のバージョンおよび他のIvantiプロダクトに存在するスタックベースのバッファオーバーフロー脆弱性CVE-2025-0282の悪用に関連していた。 

その後、同庁はハッカーが脆弱性を悪用して初期アクセスを得た重要インフラ提供者のIvanti Connect Secureデバイスから3つのサンプルを分析した。分析によると、Resurgeはリモートハッカーがデバイスとの接続を試みるまで、デバイスで潜伏状態を保つことができることが示されている。 

その結果、CISAはセキュリティチームに対して、より大規模な規模で検出されないままになっているという懸念の中で、侵害の可能性をチェックするよう促している。 

Mandiantの研究者は2025年1月にCVE-2025-0282を悪用している中国関連の脅威アクターを特定した。このグループはUNC5337として追跡されている。研究者は、このグループが2024年のIvantiの脆弱性悪用に関連していたUNC5221とのリンクを持っている可能性があると疑っている。

CISAによると、3つのファイルの最初のものはResurgeと呼ばれ、Spawnchimeraというマルウェアと同様の機能を持っている。コマンド&コントロール目的のためにSecure Shellトンネルが作成される。2025年の分析により、ResurgeはファイルModification、整合性チェック操作、およびIvantiブートディスクにコピーされるWebシェルの作成を可能にするコマンドを含むことが示された。

2番目のファイルはSpawnslothの亜種で、Ivantiデバイスログを改ざんしている。3番目のファイルはシェルスクリプトとBusyBoxというオープンソースツールのアプレットのサブセットを含むバイナリである。CISAによると、ハッカーはこのツールを悪用して、侵害されたデバイスにペイロードをダウンロードして実行できる。

マルウェアは、脅威アクターが侵害されたデバイスとの接続を開始するまで、システムで検出されない状態を保つことができると、CISAのスポークスパーソンはCybersecurity Diveに述べた。 

CISAはこれらの攻撃で悪用されている他のCVEについて知らず、他の環境への攻撃でマルウェアが使用されていることについても認識していない。 

ForresterのバイスプレジデントでPrincipal Analytystであるジェフ・ポラード氏は、エッジデバイスに対する全体的な脅威は独特な懸念ではないが、永続性とステルスのレベルが際立っていると述べた。 

「その組み合わせは、環境にインプラントが残っていても問題を修復したと信じている可能性のある防御者に大きな摩擦を引き起こす」とポラード氏はCybersecurity Diveに述べた。「また、ログデータが信頼できないため、彼らは知らないかもしれません。」  

編集者注：Forresterからのコメント、CISAからの追加コメントを追加。