RESURGE 멀웨어, 침해된 Ivanti 기기에 잠복 지속 - CISA 경고

CISA, Ivanti Connect Secure를 표적으로 한 RESURGE 멀웨어 공개

미국 사이버보안 및 인프라 보안국(CISA)은 최근 CVE-2025-0282 제로데이 공격을 악용해 Ivanti Connect Secure 기기를 침해하는 정교한 멀웨어 임플란트 RESURGE에 대한 새로운 기술적 세부사항을 공개했습니다. 해당 기관은 이 멀웨어가 감염된 시스템에서 잠복 상태를 유지하며 탐지를 회피할 수 있다고 경고했습니다.

RESURGE의 기술적 세부사항

지속적인 위협 행위자 캠페인에서 발견된 RESURGE는 Ivanti의 Connect Secure VPN 어플라이언스의 심각한 취약점인 CVE-2025-0282를 악용합니다. CISA의 분석에 따르면, 이 멀웨어는 다음과 같은 여러 회피 기술을 사용합니다:

• 초기 침해 단계에서 보안 경보를 유발하지 않도록 하는 잠복 메커니즘.
• 합법적인 시스템 프로세스 내에서 악성 코드를 실행하는 프로세스 인젝션.
• 네트워크 모니터링을 우회하기 위한 난독화된 명령 및 제어(C2) 통신.

CISA의 권고 사항은 RESURGE가 자격 증명 탈취, 데이터 유출, 그리고 추가적인 내부 네트워크 이동을 위한 백도어 접근을 구축하도록 설계되었다고 강조합니다. 이 임플란트의 모듈형 아키텍처는 고급 지속 위협(APT) 그룹과 연계된 더 광범위한 공격 툴킷의 일부일 가능성을 시사합니다.

영향 및 위험 평가

CVE-2025-0282의 악용은 원격 접근을 위해 Ivanti Connect Secure에 의존하는 조직에 상당한 위험을 초래합니다. 주요 우려 사항은 다음과 같습니다:

• 은밀한 지속성: RESURGE의 잠복 능력은 탐지를 복잡하게 하여, 위협 행위자가 장기간에 걸쳐 접근을 유지할 수 있게 합니다.
• 데이터 유출: 멀웨어의 자격 증명 탈취 기능은 민감한 기업 또는 정부 시스템에 대한 무단 접근을 초래할 수 있습니다.
• 공급망 위험: 침해된 Ivanti 기기는 정부, 국방, 중요 인프라 등 고가치 부문에서 더 넓은 네트워크 침투의 진입점으로 작용할 수 있습니다.

CISA의 발견은 조직이 취약한 Ivanti 시스템을 즉시 패치하고 침해 징후를 식별하기 위한 철저한 포렌식 분석을 수행해야 한다는 긴급성을 강조합니다.

완화 및 권고 사항

CISA는 관리자에게 다음과 같은 조치를 취할 것을 촉구합니다:

1. 패치 적용: CVE-2025-0282를 해결하는 최신 펌웨어 버전으로 Ivanti Connect Secure 기기를 즉시 업데이트합니다.
2. 영향받은 시스템 격리: 완전한 조사 완료 시까지 의심스러운 행동을 보이는 기기를 격리합니다.
3. 침해 지표(IOC) 모니터링: RESURGE 관련 IOC(파일 해시, C2 도메인, 네트워크 시그니처 등)를 포함한 CISA의 권고 사항을 검토합니다.
4. 탐지 강화: 프로세스 인젝션 및 비정상적인 C2 트래픽을 식별하기 위해 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포합니다.
5. 포렌식 분석 수행: 시스템 무결성을 확인하고 무단 변경을 탐지하기 위해 Ivanti의 무결성 검사 도구를 사용합니다.

조직은 Ivanti 기기를 노출한 경우 침해가 발생했다고 가정하고 사고 대응 프로토콜을 시작해야 합니다. CISA의 전체 보고서는 방어자를 위한 추가 기술 지침을 제공합니다.