去年3月美國網路安全暨基礎設施安全局(CISA)提出警告,駭客利用名為Resurge的惡意軟體從事攻擊活動,目標是尚未修補重大漏洞CVE-2025-0282的Ivanti Connect Secure(ICS),事隔接近一年,更多真相被揭露,關鍵在於駭客使用相當隱密的手法,使得該惡意程式能長期潛伏於ICS設備而不被察覺。
2月26日CISA更新Resurge惡意軟體分析報告內容,指出此惡意程式通常會潛伏在受害的ICS系統,直到攻擊者試圖與ICS裝置建立連線才會活動,CISA研判,Resurge植入受害系統後,會處於休眠狀態,而往往沒有被發現,因此至今仍是嚴重的威脅。
Resurge為JPCERT/CC揭露的惡意程式SpawnChimera變種,具備SpawnChimera多種能力,其中一種是會讓ICS主機不斷重開機,然而CISA指出,Resurge具備其他功能,包括:操弄完整性檢查、竄改檔案,以及建立Web Shell並複製到ICS的開機磁碟,而會對受害組織造成更大的威脅。
後續CISA從關鍵基礎設施的受害ICS設備取得Resurge檔案,進行分析發現,駭客導入先進的網路層級迴避偵測技術,採用進階密碼技術及偽造的TLS憑證來秘密通訊。
此惡意程式檔名為libdsupgrade.so,本身是32位元的Linux共用物件檔,攻擊者將其用於建立C2通訊,不過,該惡意程式同時具備rootkit、bootkit、後門程式、惡意程式投放工具(dropper),以及代理伺服器與隧道的功能。該惡意軟體運作最特別的地方,就是不會直接發送Beacon到C2伺服器,而是等待指定的TLS入站流量才會啟動。
Resurge在TLS流量到達ICS網頁伺服器元件前進行檢查,透過CRC32演算法的指紋,識別是否為攻擊者發出的連線,攻擊者也採用偽造的Ivanti憑證,目的是確保互動的對象是Resurge,而非ICS系統的網頁伺服器元件。
除了對Resurge運作模式進行解析,CISA也發現SpawnSloth惡意軟體的變種liblogblock.so,用途是竄改ICS的事件記錄檔案;另一個新找到的作案工具是dsmain,用途是讓Resurge能夠解密及竄改ICS的韌體映像檔。
熱門新聞
2026-03-02
2026-03-02
2026-03-02
2026-03-02
2026-03-04
2026-03-03
2026-03-02