RESURGE恶意软件潜伏Ivanti设备 CISA发布警告

CISA揭露RESURGE恶意软件针对Ivanti Connect Secure的攻击

美国网络安全与基础设施安全局（CISA）近日公布了关于RESURGE恶意软件植入程序的最新技术细节。该软件被用于近期利用CVE-2025-0282零日漏洞攻击Ivanti Connect Secure设备的活动中。CISA警告称，该恶意软件能够长期潜伏，逃避检测的同时在受感染系统上保持持久性。

RESURGE的技术细节

RESURGE是在持续的威胁行为者攻击活动中被发现的，它利用了Ivanti Connect Secure VPN设备中的CVE-2025-0282这一严重漏洞。根据CISA的分析，该恶意软件采用了多种逃避技术，包括：

• 休眠机制：避免在初始入侵阶段触发安全警报。
• 进程注入：在合法系统进程中执行恶意代码。
• 混淆的命令与控制（C2）通信：绕过网络监控。

CISA的公告强调，RESURGE的设计目的是窃取凭证、外泄数据并建立后门访问，以便在受感染网络中进一步横向移动。该植入程序的模块化架构表明它可能属于更广泛的攻击工具包的一部分，并可能与高级持续性威胁（APT）组织有关。

影响与风险评估

CVE-2025-0282的利用给依赖Ivanti Connect Secure进行远程访问的组织带来了重大风险。主要关注点包括：

• 隐蔽持久性：RESURGE能够长期潜伏，增加了检测难度，使威胁行为者能够长期维持访问权限。
• 数据外泄：该恶意软件的凭证窃取能力可能导致未经授权访问敏感的企业或政府系统。
• 供应链风险：受感染的Ivanti设备可能成为更广泛网络渗透的入口点，尤其在政府、国防和关键基础设施等高价值领域。

CISA的调查结果强调，组织必须立即修补存在漏洞的Ivanti系统，并进行全面的取证分析以识别入侵迹象。

缓解措施与建议

CISA敦促管理员采取以下行动：

1. 应用补丁：立即将Ivanti Connect Secure设备更新至修复CVE-2025-0282的最新固件版本。
2. 隔离受影响系统：对表现出可疑行为的设备进行隔离，直至完成全面调查。
3. 监控入侵指标（IOCs）：查阅CISA的公告以获取RESURGE特定的IOCs，包括文件哈希、C2域名和网络特征。
4. 增强检测能力：部署终端检测与响应（EDR）解决方案，以识别进程注入和异常C2流量。
5. 进行取证分析：使用Ivanti的完整性检查工具验证系统完整性并检测未经授权的修改。

CISA建议，如果组织拥有暴露在外的Ivanti设备，应假设已被入侵并启动事件响应流程。CISA的完整报告还提供了针对防御者的额外技术指导。