CISA, Ivanti Connect Secure 관련 RESURGE 악성코드에 대한 악성코드 분석 보고서 발표

CISA(미국 사이버보안 및 기반시설 보안국)는 SPAWNCHIMERA와 유사한 기능을 가진 RESURGE라는 새로운 악성코드 변종에 대한 보고서를 발표했습니다. RESURGE는 재부팅 후에도 살아남을 수 있지만, 웹 쉘을 생성하고, 무결성 검사를 조작하며, 파일을 수정하기 위해 고유한 명령어를 사용합니다. 이 악성코드는 Ivanti Connect Secure 어플라이언스에서 발생하는 스택 기반 버퍼 오버플로 취약점인 CVE-2025-0282의 악용과 관련되어 있습니다. 이 취약점은 2025년 1월 8일에 CISA의 알려진 악용 취약점 목록에 추가되었습니다. 이 악성코드는 웹 쉘을 사용하여 자격 증명 수집, 계정 생성 및 권한 상승을 가능하게 합니다. CISA는 영향을 받은 장치에 대한 가장 확실한 해결 방법으로 공장 초기화를 수행할 것을 사용자들에게 강력히 권고합니다. 또한, 모든 도메인 사용자와 로컬 계정을 포함하여 권한 있는 계정과 권한 없는 계정 모두에 대한 자격 증명을 재설정해야 합니다. 영향을 받은 장치에 대한 권한을 취소하거나 줄이기 위해 액세스 정책을 검토하는 것도 권장됩니다. 조직은 관련 계정을 무단 액세스 징후가 있는지 모니터링해야 합니다. 사고 및 비정상적인 활동은 CISA의 24/7 운영 센터에 보고해야 합니다.