Last Updated on 2024-07-10 08:51 by admin
新たなマルウェアキャンペーンが、Ciscoネットワーキング機器の2つのゼロデイ脆弱性を悪用してカスタムマルウェアを配信し、対象環境での秘密データ収集を容易にした。この活動は「ArcaneDoor」と名付けられ、Cisco Talosによって、以前に文書化されていない洗練された国家支援のアクターUAT4356(MicrosoftによってStorm-1849とも呼ばれる)の仕業として特定された。UAT4356はこのキャンペーンの一環として「Line Runner」と「Line Dancer」という2つのバックドアを展開し、対象に対する悪意のある行動を実行した。これには、設定の変更、偵察、ネットワークトラフィックのキャプチャ/流出、および潜在的な横移動が含まれる。
侵入は2024年初頭に最初に検出され、確認され、2つの脆弱性CVE-2024-20353(CVSSスコア:8.6)とCVE-2024-20359(CVSSスコア:6.0)の悪用を伴う。これらの脆弱性は、それぞれCisco Adaptive Security ApplianceおよびFirepower Threat Defense SoftwareのWebサービス拒否サービス脆弱性と、永続的なローカルコード実行脆弱性である。U.S. Cybersecurity and Infrastructure Security Agency (CISA)はこれらの欠陥をKnown Exploited Vulnerabilities (KEV)カタログに追加し、連邦機関に対して2024年5月1日までにベンダー提供の修正を適用するよう要求した。
攻撃者は成功した足掛かりを得た後、Line DancerとLine Runnerという2つのインプラントを展開した。Line Dancerはメモリ内バックドアであり、攻撃者が任意のシェルコードペイロードをアップロードして実行できるようにする。一方、Line Runnerは、前述のゼロデイを利用してCisco Adaptive Security Appliance(ASA)にインストールされた持続的なHTTPベースのLuaインプラントであり、再起動やアップグレードを越えて生き残ることができる。
攻撃の各段階で、UAT4356はデジタル足跡を隠すために細心の注意を払い、メモリフォレンジックを回避し、検出の可能性を低下させる複雑な方法を採用することで、その洗練さと逃げ足の速さを示した。これは、脅威アクターがASA自体の内部構造と、Ciscoがネットワークデバイスの整合性検証に一般的に実行する「フォレンジックアクション」を完全に理解していることを示唆している。ArcaneDoorの背後にいる国は明確ではないが、過去に中国およびロシアの国家支援ハッカーがCiscoルーターをサイバー諜報目的で標的にしていた。Cisco Talosは、これらの攻撃で侵害された顧客の数を特定していない。
【ニュース解説】
Ciscoのネットワーキング機器に存在する2つのゼロデイ脆弱性が、国家支援を受けたハッカーグループによって悪用されたことが明らかになりました。この攻撃キャンペーンは「ArcaneDoor」と名付けられ、未文書化の洗練されたアクターUAT4356によるものと特定されています。このグループは、2つのバックドア「Line Runner」と「Line Dancer」を使用して、対象のシステムに侵入し、データを収集するなどの悪意ある行動を実行しました。
この攻撃は、Cisco Adaptive Security ApplianceおよびFirepower Threat Defense Softwareに影響を与える2つの脆弱性、CVE-2024-20353とCVE-2024-20359を利用しています。これらの脆弱性を通じて、攻撃者はシステムに侵入し、悪意のあるコードを実行することが可能になります。特に注目すべきは、これらの脆弱性がゼロデイであったこと、つまり公には知られていない脆弱性であったことです。
この攻撃の影響は、セキュリティの専門家や組織にとって重要な意味を持ちます。まず、国家支援を受けたハッカーグループが高度な技術を駆使していることが示されています。これらのグループは、システムの深い理解を持ち、検出を避けるための複雑な手法を用いることができます。また、ゼロデイ脆弱性の存在は、ソフトウェアやハードウェアのセキュリティが常に脅威にさらされていることを示しており、企業や組織は常に警戒し、最新のセキュリティ対策を講じる必要があります。
このような攻撃は、組織のネットワークセキュリティに対する新たな課題を提示します。特に、エッジデバイスやプラットフォームが標的にされることが増えており、これらは従来、エンドポイント検出と対応(EDR)ソリューションが不足していることが多いため、攻撃者にとって魅力的な侵入点となります。したがって、これらのデバイスのセキュリティを強化し、定期的なパッチ適用やハードウェアおよびソフトウェアの最新化、セキュリティ監視の徹底が重要です。
長期的な視点では、このような攻撃はサイバーセキュリティの規制や基準に影響を与える可能性があります。国家支援を受けた攻撃の増加は、国際的な協力やサイバーセキュリティに関する新たな法律や規制の必要性を高めるでしょう。また、企業や組織は、サイバーセキュリティ対策の強化だけでなく、攻撃を検出し迅速に対応するための体制を整えることが求められます。
最終的に、このニュースは、サイバーセキュリティが静的なものではなく、常に進化する脅威に対応するために動的に対応しなければならない分野であることを示しています。技術の進歩とともに、攻撃者の手法も進化しているため、セキュリティ専門家は常に最新の知識と技術を身につけ、組織を保護するための戦略を進化させ続ける必要があります。
from State-Sponsored Hackers Exploit Two Cisco Zero-Day Vulnerabilities for Espionage.
