シスコは本日、国家に支援されたハッキング・グループが、2023年11月以降、Adaptive Security Appliance(ASA)とFirepower Threat Defense(FTD)ファイアウォールの2つのゼロデイ脆弱性を悪用して、世界中の政府機関のネットワークに侵入していると警告した。
Cisco TalosではUAT4356、MicrosoftではSTORM-1849と特定されたハッカーは、ArcaneDoorとして追跡されているサイバースパイキャンペーンにおいて、2023年11月初旬に脆弱なエッジデバイスへの侵入を開始しました。
シスコは、最初の攻撃ベクターをまだ特定できていないにもかかわらず、脅威行為者がこれらの攻撃でゼロデイとして使用した2つのセキュリティ欠陥-CVE-2024-20353(サービス拒否)とCVE-2024-20359(永続的なローカルコード実行)を発見し、修正しました。
Ciscoは、2024年1月初旬にArcaneDoorキャンペーンを認識し、攻撃者が少なくとも2023年7月以降、2つのゼロデイをターゲットとするエクスプロイトをテストし開発していた証拠を発見しました。
Ciscoファイアウォールのバックドアに悪用される
この2つの脆弱性により、脅威者はこれまで知られていなかったマルウェアを展開し、侵害されたASAおよびFTDデバイス上で永続性を維持することができました。
マルウェアのインプラントの1つであるLine Dancer は、インメモリ・シェルコード・ローダであり、任意のシェルコード・ペイロードを配信・実行し、ロギングの無効化、リモート・アクセスの提供、キャプチャしたパケットの流出を支援します。
2つ目のインプラントは、「Line Runner」と名付けられた永続的なバックドアで、検知を回避するための複数の防御回避メカニズムが搭載されており、攻撃者はハッキングされたシステム上で任意のLuaコードを実行することができます。
「シスコは、「この攻撃者は、洗練された国家支援者の特徴である、スパイ活動への明確な焦点と標的としたデバイスに関する深い知識を示す特注のツールを利用していました。
UAT4356は、このキャンペーンのコンポーネントとして、”Line Runner “と “Line Dancer “という2つのバックドアを配備しており、これらを総動員して、設定変更、偵察、ネットワーク・トラフィックのキャプチャ/流出、潜在的な横移動を含む悪意のあるアクションを標的上で実行しました。
英国のナショナル・サイバー・セキュリティ・センター(NCSC)、カナダのサイバーセキュリティ・センター(Cyber Centre)、およびオーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センターが本日発表した共同勧告によると、悪意のある行為者は、そのアクセス権を使用して以下のことを行ったという:
- デバイスの設定ファイルのテキストバージョンを生成し、ウェブリクエストを通じてそのファイルを流出させる。
- デバイスのsyslogサービスの有効/無効を制御し、追加コマンドを難読化する。
- 認証、認可、およびアカウンティング(AAA)設定を変更し、特定の ID に一致する特定のアクターが制御するデバイスが、影響を受けた環境内でアクセスできるようにする。
シスコ、顧客にアップグレードを促す
同社は水曜日に2つのゼロデイを修正するセキュリティ・アップデートをリリースし、現在、すべての顧客に対して、攻撃をブロックするためにデバイスを修正済みのソフトウェアにアップグレードすることを「強く推奨」している。
シスコの管理者はまた、予定外の再起動、無許可の設定変更、不審なクレデンシャル活動の兆候がないか、システムログを監視するよう「強く推奨」されている。
「ネットワーク機器のプロバイダーにかかわらず、今こそ、デバイスに適切なパッチが適用され、中央の安全な場所にログが記録され、強力な多要素認証(MFA)が設定されていることを確認する時です」と同社は付け加えた。
シスコはまた、このアドバイザリの中で、ASAまたはFTDデバイスの完全性を確認する方法についても説明している。
今月初め、Ciscoは、世界中のCisco、CheckPoint、Fortinet、SonicWall、およびUbiquitiデバイス上のVPNおよびSSHサービスを標的とした大規模なブルートフォース攻撃について警告した。
また、3月には、Cisco Secure Firewallデバイスに設定されたリモートアクセスVPN(RAVPN)サービスを標的とするパスワードスプレー攻撃の緩和に関するガイダンスを共有した。
Comments