Ivanti Connect Secure遭到惡意軟體Resurge攻擊，駭客採用網路層級手段迴避偵測

攻擊背景與CISA警告

去年3月，美國網路安全暨基礎設施安全局（CISA）提出警告，駭客利用名為Resurge的惡意軟體從事攻擊活動，目標是尚未修補重大漏洞CVE-2025-0282的Ivanti Connect Secure（ICS）設備。

後續CISA從關鍵基礎設施的受害ICS設備取得Resurge檔案，進行分析發現，駭客導入先進的網路層級迴避偵測技術，採用進階密碼技術及偽造的TLS憑證來秘密通訊，使惡意軟體能長期潛伏於設備而不被察覺。

3月底，TeamT5的遙測察知中國相關APT族群利用Ivanti Connect Secure VPN高風險漏洞發動攻擊，受害單位橫跨全世界12個國家，近20個不同產業。
安全研究人員揭露，一個可能與中國有關的網路間諜組織正在積極利用Ivanti產品中的嚴重漏洞，該漏洞原本被廠商評估為低風險，但現已被確認為可實現遠端攻擊。
五眼聯盟發布了新的網路安全警示，指出攻擊者正在利用Ivanti Connect Secure與Ivanti Policy Secure已知的安全漏洞發動攻擊。

研究人員發現Ivanti Connect Secure、Pulse Connect Secure、Policy Secure及ZTA Gateways存在堆疊緩衝區溢位（Stack-based Buffer Overflow）漏洞（CVE-2025-22457），此漏洞可能被惡意利用。