Ivantiデバイスを標的とするRESURGEマルウェア、CISAが潜伏型の脅威を警告

CISAがIvanti Connect Secureを標的とするRESURGEマルウェアの詳細を公開

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、RESURGEと呼ばれる高度なマルウェアインプラントに関する新たな技術詳細を公表した。このマルウェアは、CVE-2025-0282のゼロデイ脆弱性を悪用し、Ivanti Connect Secureデバイスを侵害する攻撃で使用されている。CISAは、RESURGEが潜伏状態を維持し、検出を回避しながら感染システム上で持続性を確保する能力を持つと警告している。

RESURGEの技術的詳細

現在進行中の脅威アクターによるキャンペーンで確認されたRESURGEは、CVE-2025-0282というIvantiのConnect Secure VPNアプライアンスにおける重大な脆弱性を悪用している。CISAの分析によると、このマルウェアは以下のような複数の回避技術を採用している。

• 潜伏メカニズム：初期侵害時にセキュリティアラートをトリガーしないよう、休眠状態を維持。
• プロセスインジェクション：正規のシステムプロセス内で悪意のあるコードを実行。
• 難読化されたC2（コマンド＆コントロール）通信：ネットワーク監視を回避するための手法。

CISAのアドバイザリーでは、RESURGEが認証情報の窃取、データの持ち出し（エクスフィルトレーション）、バックドアアクセスの確立により、侵害されたネットワーク内でのさらなる横展開（ラテラルムーブメント）を可能にする設計であることが強調されている。また、このインプラントのモジュラー構造は、より広範な攻撃ツールキットの一部であり、高度な持続的脅威（APT）グループとの関連性を示唆している。

影響とリスク評価

CVE-2025-0282の悪用は、Ivanti Connect Secureをリモートアクセスに依存する組織にとって重大なリスクをもたらす。主な懸念点は以下の通り。

• ステルス性の高い持続性：RESURGEの潜伏能力により、検出が困難となり、脅威アクターが長期間にわたりアクセスを維持できる。
• データの持ち出し：認証情報を窃取する機能により、企業や政府の機密システムへの不正アクセスが可能となる。
• サプライチェーンリスク：侵害されたIvantiデバイスが、政府、防衛、重要インフラなどの高価値セクターにおけるネットワーク侵入の足がかりとなる可能性がある。

CISAの調査結果は、組織が脆弱なIvantiシステムを直ちにパッチ適用し、侵害の兆候を特定するための徹底的なフォレンジック分析を実施する緊急性を強調している。

緩和策と推奨事項

CISAは管理者に対して、以下の対策を講じるよう強く要請している。

1. パッチの適用：CVE-2025-0282に対応した最新のファームウェアに、Ivanti Connect Secureデバイスを直ちに更新。
2. 影響を受けるシステムの隔離：不審な挙動を示すデバイスを隔離し、完全な調査が完了するまで隔離を維持。
3. 侵害指標（IOC）の監視：CISAのアドバイザリーを参照し、RESURGE固有のIOC（ファイルハッシュ、C2ドメイン、ネットワークシグネチャなど）を確認。
4. 検出機能の強化：プロセスインジェクションや異常なC2トラフィックを検出するため、エンドポイント検出・対応（EDR）ソリューションを導入。
5. フォレンジック分析の実施：Ivantiの整合性チェックツールを使用し、システムの整合性を検証し、不正な変更を検出。

組織は、Ivantiデバイスを公開している場合には侵害を前提とし、インシデント対応プロトコルを開始することが推奨される。CISAの完全な報告書には、防御側向けの追加技術ガイダンスが提供されている。