CISA เปิดเผยรายละเอียดใหม่เกี่ยวกับมัลแวร์ RESURGE ซึ่งเป็นโปรแกรมอันตรายที่แฝงตัวเข้ามา และกำลังอาจถูกใช้ในการโจมตีแบบ Zero-day โดยอาศัยช่องโหว่ CVE-2025-0282 เพื่อโจมตีระบบบนอุปกรณ์ Ivanti Connect Secure

ข้อมูลที่อัปเดตนี้เน้นไปที่ความสามารถของมัลแวร์ในการแฝงตัวอยู่บนอุปกรณ์โดยไม่ถูกตรวจพบ รวมถึงเทคนิคการหลบหลีก และการยืนยันตัวตนในระดับเครือข่ายที่มีความซับซ้อน ซึ่งจะช่วยให้มันสามารถสื่อสารกับผู้โจมตีได้อย่างลับ ๆ

ก่อนหน้านี้ CISA ได้รายงานข้อมูลของมัลแวร์ตัวนี้ไว้เมื่อวันที่ 28 มีนาคมปีที่แล้ว โดยระบุว่ามันสามารถแฝงตัวอยู่ได้แม้จะมีการรีบูตเครื่อง, สามารถสร้าง webshells เพื่อขโมยข้อมูล Credentials, สร้างบัญชีผู้ใช้ใหม่, รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์การเข้าถึงระบบได้

ตามรายงานของนักวิจัยจากบริษัท Mandiant ระบุว่า ช่องโหว่ร้ายแรงระดับ Critical ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2025-0282 และกำลังถูกนำมาใช้ในการโจมตีแบบ Zero-day ตั้งแต่ช่วงกลางเดือนธันวาคม 2024 โดยกลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับจีน ซึ่งทางบริษัทติดตามพฤติกรรมเป็นการภายในภายใต้ชื่อรหัส UNC5221

การซ่อนตัวในระดับเครือข่าย

ประกาศที่อัปเดตของ CISA ให้ข้อมูลทางเทคนิคเพิ่มเติมเกี่ยวกับ RESURGE ซึ่งเป็นไฟล์ Linux Shared Object แบบ 32 bit ที่เป็นอันตรายชื่อว่า libdsupgrade.