RESURGE 맬웨어

연구자들은 Ivanti Connect Secure(ICS) 어플라이언스의 현재 패치된 보안 취약성을 악용하는 공격에 사용된 새로운 맬웨어 변종인 RESURGE를 발견했습니다. 이 정교한 맬웨어는 SPAWNCHIMERA 맬웨어 변종의 기능을 기반으로 구축되었지만 동작을 수정하는 고유한 명령을 도입합니다.

다재다능하고 위협적인 툴킷

RESURGE는 단순한 익스플로잇이 아닙니다. 루트킷, 드로퍼, 백도어, 부트킷, 프록시 및 터널러 역할을 하는 등 다양한 기능을 보유하고 있습니다. 이러한 기능 덕분에 공격자는 손상된 시스템에 대한 지속성과 제어를 유지하려는 강력한 도구가 됩니다.

악용된 취약점: CVE-2025-0282

이 맬웨어는 다음을 포함한 여러 Ivanti 제품에 영향을 미치는 스택 기반 버퍼 오버플로 취약점인 CVE-2025-0282를 이용합니다.

• Ivanti Connect Secure(버전 22.7R2.5 이전)
• Ivanti Policy Secure(버전 22.7R1.2 이전)
• ZTA 게이트웨이용 Ivanti Neurons(버전 22.7R2.3 이전)

이 결함은 원격 코드 실행을 가능하게 하여 공격자가 RESURGE와 같은 정교한 맬웨어를 배포할 수 있게 합니다.

SPAWN 맬웨어 생태계

사이버 보안 연구원들은 CVE-2025-0282 악용을 다음과 같은 구성 요소를 포함하는 맬웨어의 SPAWN 생태계와 연결했습니다.

• 산란체
• 스폰몰
• 스폰스네일

이 생태계는 사이버 간첩 활동으로 유명한 중국 연계 간첩 집단인 UNC5337에 기인한 것으로 추정됩니다.

SPAWNCHIMERA: 진화된 위협

공격 체인에서 주목할 만한 발전은 개별 SPAWN 모듈을 단일 모놀리식 맬웨어로 통합하는 SPAWNCHIMERA 변형입니다. 이 버전은 상당한 향상을 도입합니다.

• UNIX 도메인 소켓을 통한 프로세스 간 통신
• 경쟁 위협 행위자가 동일한 취약성을 악용하지 못하도록 CVE-2025-0282 패치

RESURGE: SPAWNCHIMERA를 넘어선 한 걸음

최신 버전인 RESURGE('libdsupgrade.so')는 SPAWNCHIMERA에 세 가지 추가 명령을 추가하여 확장되었습니다.

• 지속성 및 시스템 조작 : 'ld.so.preload'에 자기 자신을 삽입하고, 웹 셸을 설정하고, 무결성 검사를 변경하고, 파일을 수정합니다.
• 자격 증명 및 권한 악용 – 자격 증명 수집, 계정 생성, 비밀번호 재설정 및 권한 확대를 위해 웹 셸을 사용할 수 있습니다.
• 부팅 지속성 – 웹 셸을 Ivanti 실행 부팅 디스크에 복사하고 coreboot 이미지를 수정하여 장기 액세스를 보장합니다.

추가 결과: SPAWNSLOTH 및 DSMain

연구원들은 또한 중요 인프라 내의 손상된 ICS 장치에서 두 개의 추가 맬웨어 아티팩트를 식별했습니다.

• SPAWNSLOTH('liblogblock.so') – Ivanti 장치 로그를 조작하여 흔적을 감추는 RESURGE 내에 내장된 변종입니다.
• DSMain – 오픈 소스 셸 스크립트와 BusyBox의 구성 요소를 포함하는 맞춤형 64비트 Linux ELF 바이너리로, 커널 추출과 추가적인 시스템 손상을 가능하게 합니다.

다른 위협 행위자에 의한 제로데이 익스플로잇

특히, CVE-2025-0282는 중국과 연계된 또 다른 사이버 스파이 그룹인 Silk Typhoon(이전 Hafnium )에 의해 제로데이로 악용되었습니다. 이는 국가가 지원하는 위협 행위자들 사이에서 이 취약성의 높은 가치를 강조합니다.

완화 전략: 위협에 앞서 나가기

이러한 맬웨어 변형의 빠른 진화를 감안할 때 조직은 Ivanti 인스턴스를 보호하기 위해 즉각적인 조치를 취해야 합니다.

• CVE-2025-0282 취약점을 해결하기 위해 최신 버전으로 패치하세요.
• 권한이 있는 계정과 권한이 없는 계정 모두에 대한 자격 증명을 재설정합니다.
• 모든 도메인과 로컬 계정의 비밀번호를 순환합니다.

공격자들이 적극적으로 기술을 개선함에 따라 중요 인프라와 민감한 데이터를 보호하기 위해서는 사전 예방적 방어 조치가 필수적입니다.