126/68 (IT) ประจำวันอังคารที่ 1 เมษายน 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำเตือนเกี่ยวกับมัลแวร์ชนิดใหม่ชื่อ “RESURGE” ที่ถูกใช้โจมตีช่องโหว่หมายเลข CVE-2025-0282 ในอุปกรณ์ Ivanti Connect Secure (ICS) โดย CISA เผยแพร่รายงานวิเคราะห์มัลแวร์ (Malware Analysis Report – MAR) ที่ระบุว่า RESURGE มีความสามารถคล้ายกับมัลแวร์ SPAWNCHIMERA แต่มีคำสั่งเฉพาะตัวที่ทำให้พฤติกรรมต่างออกไป เช่น การติดตั้ง web shell ลงใน boot disk การเปลี่ยนแปลง coreboot image เพื่อให้มัลแวร์คงอยู่ในระบบแม้รีบูต และการเลี่ยงระบบตรวจสอบความถูกต้องของไฟล์ (integrity checks)
RESURGE ทำหน้าที่เป็น rootkit, dropper, backdoor, bootkit, proxy และ tunneler โดยสามารถสร้างช่องทางลับผ่าน SSH และ encrypted keys เพื่อให้ผู้โจมตีเข้าถึงระบบโดยไม่ถูกตรวจจับ นอกจากนี้ CISA ยังพบไฟล์มัลแวร์เพิ่มเติม ได้แก่ “liblogblock.so” ซึ่งเป็น SPAWNSLOTH เวอร์ชันที่ใช้ปรับแต่ง log โดยใช้ funchook เพื่อดักฟังก์ชัน log ของอุปกรณ์ Ivanti และซ่อนร่องรอยการโจมตี
ช่องโหว่ CVE-2025-0282 ที่ RESURGE ใช้โจมตี สามารถถูกใช้โดยผู้ไม่ผ่านการพิสูจน์ตัวตนเพื่อรันโค้ดจากระยะไกลได้ ขณะที่ช่องโหว่ CVE-2025-0283 มีคะแนน CVSS 7.0 อาจถูกใช้โดยผู้ที่เข้าสู่ระบบได้แล้วเพื่อยกระดับสิทธิ์ในการเข้าถึงระบบ ทั้งนี้ Ivanti ได้ออกแพตช์เพื่อแก้ไขช่องโหว่แล้ว และยืนยันว่าเหตุการณ์โจมตีที่เกิดขึ้นจำกัดอยู่ในกลุ่มลูกค้าจำนวนหนึ่งเท่านั้น โดยยังไม่พบการโจมตีอุปกรณ์ในกลุ่ม Policy Secure หรือ ZTA Gateway
