美國網路安全暨基礎設施安全局(CISA)發布最新警告,指出 RESURGE 惡意程式可能潛伏在 Ivanti 設備中,並公開更多技術細節。這款惡意植入程式用於零日攻擊,利用
CVE-2025-0282 漏洞入侵 Ivanti Connect Secure 設備。
CISA 的更新報告聚焦於該植入程式在設備上的隱蔽潛伏能力,以及其「複雜的網路層級規避與認證技術」,而這些技術讓攻擊者能與受害設備進行秘密通訊。
CISA 於 2025 年 3 月 28 日首次記錄這款惡意程式,指出它能在重新開機後存活、建立竊取憑證的網頁後門、建立帳號、重設密碼,以及提升權限。資安事件應變公司 Mandiant 的研究人員發現,自 2024 年 12 月中旬起,CVE-2025-0282 這個嚴重漏洞就被當作零日漏洞利用,攻擊者是與中國有關的威脅組織 UNC5221。
延伸閱讀:
Ivanti漏洞風險從「低」升級為「關鍵」:中國駭客組織UNC5221積極利用中
網路層級的規避技術
這是一個名為
libdsupgrade.so 的惡意 32 位元 Linux 共享物件檔案,從受駭設備中提取出來。該植入程式是一種被動式命令與控制(C2)植入程式,具備 rootkit、bootkit、後門、投放器、代理和通道功能。它不會主動向 C2 發送信標,而是無限期等待特定的入站 TLS 連線,藉此規避網路監控。
當載入到「web」程序下時,它會攔截(hook)accept() 函式,在 TLS 封包抵達網頁伺服器前進行檢查,尋找來自遠端攻擊者的特定連線嘗試。這些連線透過 CRC32 TLS 指紋雜湊方案來識別。
若指紋不符,流量會被導向合法的 Ivanti 伺服器。CISA 進一步說明 RESURGE 的認證機制:威脅行為者使用偽造的 Ivanti 憑證,確保他們與植入程式互動,而非與 Ivanti 網頁伺服器互動。
該憑證僅用於認證與驗證,不用於加密通訊。此外,偽造憑證能模仿合法伺服器,幫助攻擊者規避偵測。由於偽造憑證以未加密方式在網路上傳送,CISA 表示防禦者可將其作為網路特徵,用於偵測正在進行的入侵。
完成指紋驗證與惡意程式認證後,威脅行為者透過橢圓曲線協定(Elliptic Curve protocol)加密的相互 TLS 會話,建立與植入程式的安全遠端存取。
靜態分析顯示,
RESURGE 植入程式會請求遠端攻擊者的 EC 金鑰進行加密,並使用硬編碼的 EC 憑證授權中心(CA)金鑰進行驗證。該植入程式透過模仿合法的 TLS/SSH 流量,達成隱密性與持久性。
另一個檔案是
SpawnSloth 惡意程式的變種,名為 liblogblock.so,包含在 RESURGE 植入程式中。其主要目的是竄改日誌,隱藏受駭設備上的惡意活動。
第三個檔案是
dsmain,這是一個核心提取腳本,嵌入了開源腳本 extract_vmlinux.sh 和 BusyBox Unix/Linux 工具集。它讓 RESURGE 能夠解密、修改和重新加密 coreboot 韌體映像檔,並操控檔案系統內容以達成開機層級的持久性。
目前最新分析顯示,RESURGE 可在系統上保持潛伏,直到遠端攻擊者嘗試連線至受駭設備。因此,這個惡意植入程式可能在 Ivanti Connect Secure 設備上處於休眠且未被偵測的狀態,持續構成威脅。
CISA 建議系統管理員使用更新的入侵指標(IoC),找出潛伏的 RESURGE 感染並從 Ivanti 設備中移除。
本文轉載自 BleepingComputer。