CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が、Ivanti Connect Secureに関連するRESURGEマルウェアに関するマルウェア分析レポートを公開

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）は、RESURGEと呼ばれる新たなマルウェアの亜種に関する報告書を公開しました。RESURGEはSPAWNCHIMERAと共通の機能を有していますが、再起動後も存続可能であり、ウェブシェルの作成、整合性チェックの操作、ファイルの変更において、異なるコマンドを使用します。このマルウェアは、Ivanti Connect Secureアプライアンスにおけるスタックベースのバッファオーバーフローの脆弱性であるCVE-2025-0282の悪用に関連付けられています。この脆弱性は、2025年1月8日にCISAの「既知の悪用された脆弱性カタログ」に追加されました。RESURGEマルウェアは、ウェブシェルを利用して、認証情報の収集、アカウントの作成、特権昇格を可能にします。CISAは、最も確実な修復のために、影響を受けたデバイスに対して工場出荷時リセットを実施するよう強く推奨しています。また、特権アカウントおよび非特権アカウント（すべてのドメインユーザーおよびローカルアカウントを含む）の認証情報をリセットする必要があります。影響を受けたデバイスに対するアクセスポリシーを見直し、特権を取り消すか削減することも推奨されます。組織は、関連アカウントを監視し、不正アクセスがないか確認する必要があります。インシデントや異常な活動は、CISAの24時間365日対応のオペレーションセンターに報告する必要があります。