複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) RESURGE マルウェア

RESURGE マルウェア

高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:
日本語

研究者らは、Ivanti Connect Secure (ICS) アプライアンスのセキュリティ脆弱性 (現在は修正済み) を悪用した攻撃に利用された新しいマルウェア RESURGE を発見しました。この高度なマルウェアは、SPAWNCHIMERA マルウェア バリアントの機能を基に構築されていますが、その動作を変更する独自のコマンドを導入しています。

多用途かつ脅威的なツールキット

RESURGE は単なるエクスプロイトではなく、ルートキット、ドロッパー、バックドア、ブートキット、プロキシ、トンネラーとして機能するなど、さまざまな機能を備えています。これらの機能により、侵入したシステムに対する持続性と制御を維持しようとする攻撃者にとって、RESURGE は強力なツールとなります。

悪用された脆弱性: CVE-2025-0282

このマルウェアは、以下の複数の Ivanti 製品に影響を与えるスタックベースのバッファ オーバーフロー脆弱性である CVE-2025-0282 を悪用します。

  • Ivanti Connect Secure (バージョン 22.7R2.5 以前)
  • Ivanti Policy Secure (バージョン 22.7R1.2 以前)
  • Ivanti Neurons for ZTA Gateways (バージョン 22.7R2.3 以前)

この欠陥により、リモートコード実行が可能になり、攻撃者が RESURGE のような高度なマルウェアを展開できるようになります。

SPAWN マルウェア エコシステム

サイバーセキュリティ研究者は、CVE-2025-0282 の悪用を、次のようなコンポーネントを含むマルウェアの SPAWN エコシステムに関連付けています。

  • 産卵
  • スポーンモール
  • スポーンネイル

このエコシステムは、サイバースパイ活動で知られる中国系スパイ集団 UNC5337 によるものとされている。

SPAWNCHIMERA: 進化した脅威

攻撃チェーンにおける注目すべき進化は、個々の SPAWN モジュールを 1 つのモノリシック マルウェアに統合する SPAWNCHIMERA 亜種です。このバージョンでは、大幅な機能強化が導入されています。

  • UNIXドメインソケットによるプロセス間通信
  • CVE-2025-0282 のパッチを適用して、ライバルの脅威アクターが同じ脆弱性を悪用するのを防ぐ

RESURGE: SPAWNCHIMERA の一歩先へ

最新の反復である RESURGE ('libdsupgrade.so') は、次の 3 つの追加コマンドで SPAWNCHIMERA を拡張します。

  • 永続性とシステム操作: 'ld.so.preload' に自身を挿入し、Web シェルを設定し、整合性チェックを変更し、ファイルを変更します。
  • 資格情報と権限の悪用- 資格情報の収集、アカウントの作成、パスワードのリセット、権限の昇格のために Web シェルの使用を有効にします。
  • ブート永続性- Web シェルを Ivanti 実行中のブート ディスクにコピーし、コアブート イメージを変更して長期的なアクセスを確保します。

追加の調査結果: SPAWNSLOTH と DSMain

研究者らは、重要なインフラストラクチャ内の侵害された ICS デバイスからさらに 2 つのマルウェア アーティファクトも特定しました。

  • SPAWNSLOTH ('liblogblock.so') – RESURGE 内に埋め込まれた亜種で、Ivanti デバイスのログを操作して痕跡を隠します。
  • DSMain – オープンソースのシェル スクリプトと BusyBox のコンポーネントを含むカスタム 64 ビット Linux ELF バイナリ。カーネルの抽出とシステムのさらなる侵害を可能にします。

別の脅威アクターによるゼロデイ攻撃

注目すべきことに、CVE-2025-0282 は、中国と関係のある別のサイバースパイ集団である Silk Typhoon (旧称Hafnium ) によってもゼロデイ攻撃として悪用されています。これは、国家支援の脅威アクターの間でこの脆弱性が非常に重要であることを強調しています。

緩和戦略: 脅威に先手を打つ

これらのマルウェアの亜種は急速に進化しているため、組織は Ivanti インスタンスを保護するために直ちに行動を起こす必要があります。

  • CVE-2025-0282 の脆弱性を解消するために最新バージョンにパッチを適用します。
  • 特権アカウントと非特権アカウントの両方の資格情報をリセットします。
  • すべてのドメインおよびローカル アカウントのパスワードをローテーションします。
  • アクセス ポリシーを確認し、影響を受けるデバイスの権限を一時的に取り消します。
  • 異常なアクティビティの兆候がないかアカウントを監視します。

    • 攻撃者が積極的に攻撃手法を改良しているため、重要なインフラストラクチャと機密データを保護するには、積極的な防御対策が不可欠です。

    トレンド

    Curestin.co.in

    不正なウェブサイト, アドウェア, ブラウザハイジャッカー
    インターネットにはチャンスが満ち溢れていますが、同時に大きなリスクも潜んでいます。詐欺サイトは、疑いを持たないユーザーを悪用し、戦術、個人情報の盗難、マルウェア感染などのセキュリティ上の脅威をもたらします。最近精査されたそのような不正なページの 1 つが Curestin.co.in です。これは、煩わしい通知を押し付け、訪問者を他の信頼できないサイトにリダイレクトすることで知られる詐欺的な...

    ニュース-pekota.cc

    不正なウェブサイト, ブラウザハイジャッカー
    News-pekota.cc は、ユーザーにそのプッシュ通知をオプトインするよう誘導することのみを目的として、誤解を招くプラットフォームとして運営されています。ユーザーが許可を与えると、この Web サイトは侵入的な広告をユーザーのコンピュータ画面に直接表示し、他のアクティブなアプリケーションを覆い隠してしまうことがよくあります。これらの広告は通常、ユーザーのオペレーティング システムに応じ...

    Anubi(Anubis)ランサムウェア

    ランサムウェア
    サイバー脅威はますます巧妙化しており、ランサムウェアは最も被害の大きい攻撃形態の 1 つです。一度感染すると、取り返しのつかないデータ損失、金銭的脅迫、業務の中断につながる可能性があります。Anubi (Anubis) ランサムウェアは、被害者の重要なファイルを暗号化し、解除と引き換えに身代金を要求する、脅威的なランサムウェアの 1 つです。このマルウェアの動作を理解し、断固としたセキュリテ...

    最も見られました

    Discord 灰色の画面で立ち往生

    問題
    70,349
    時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    63,094
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    56,725
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...