研究者らは、ファイルレスペイロード、メモリフック、検出と対策を複雑にするUDPベースのC2コントローラーについて警告しています。
新たに明らかになった実際の攻撃で、脅威アクターがCiscoのSimple Network Management Protocol(SNMP)の脆弱性を悪用し、リモートコード実行(RCE)を取得して脆弱なスイッチにLinuxルートキットをインストールしていることが判明しました。
Trend Microの調査によると、「Operation Zero Disco」と名付けられたこの活動は古いCiscoプラットフォームを標的としており、攻撃チェーンの一部として偽装されたIPアドレスやMACアドレスを使用していることが分かりました。
「この作戦は、エンドポイント検出応答ソリューションが導入されていない古いLinuxシステムを運用している被害者を標的とし、Linuxルートキットを展開して活動を隠蔽し、ブルーチームの調査や検出を回避していました」とTrend Microの研究者はブログ投稿で述べています。
Trendの研究者はまた、攻撃者がSNMP RCEと修正されたTelnet関連のメモリアクセステクニックを組み合わせて、より深い侵入を試みていたことも指摘しています。
細工されたSNMPリクエストによるルートキットの展開
問題の根本は、CVE-2025-20352、CiscoのSNMP実装におけるバッファオーバーフロー/認可フレームワークの問題であり、特別に細工されたSNMP Getリクエストによって影響を受けるIOS XEビルドでリモートコード実行が可能になります。コード実行が取得されると、攻撃者はカスタムLinuxルートキットを展開し、Cisco IOSデーモン(IOSd)のメモリ空間にフックし、ユニバーサルパスワードを設定し、不正なプロセスやネットワーク活動を隠蔽します。設定されたユニバーサルパスワードには「Disco」という単語が含まれていることが確認されました。
ルートキットはまた、UDPコントローラーコンポーネントを生成し、コマンド&コントロールインターフェースとして機能します。このコントローラーはログの切り替えや削除(ログサイズを「ゼロ」に設定)、アクセス制御のバイパス、さらには最終実行構成書き込みのタイムスタンプのリセットによる変更の隠蔽も可能です。
Trendのテレメトリは示すところによると、このキャンペーンは最新のEDRが導入されていない古いLinuxスタックを実行しているデバイスを標的としており、ルートキットが持続しブルーチームのツールを回避しやすくなっていました。偽装されたネットワーク識別子(IPおよびMAC)の使用は、トラフィックソースを混在または難読化するための追加の試みと考えられます。
SNMP以外にも、Trend MicroはTelnetの脆弱性(CVE-2017-3881に基づく)の修正版を悪用し、任意のメモリ読み書きアクセスを得る試みも観測しました。この修正されたエクスプロイトの全機能はまだ完全には解明されていないと研究者は述べています。
一度きりの感染にとどまらない影響
Trend Microによると、このキャンペーンは9400、9300、およびレガシーの3750Gスイッチを含む特定のCiscoファミリーに影響を与えました。影響を受けた組織は、単なる一度きりの侵害以上のリスクに直面しており、感染したスイッチは攻撃者に長期的かつステルスな横移動、データ傍受、さらなるペイロード配信のためのプラットフォームを提供する可能性があります。
エクスプロイトの一部はファイルレスまたは揮発性であり、いくつかのコンポーネントは再起動時に消失しますが、メモリに残されたフックは持続し、一部の機能は動的に再活性化されるため、検出が困難になっています。
「現在、ZeroDisco作戦によってCiscoスイッチが侵害されたかどうかを確実に判定できる汎用の自動化ツールは存在しません」と研究者は述べています。「スイッチが影響を受けている疑いがある場合は、直ちにCisco TACに連絡し、ベンダーにファームウェア/ROM/ブート領域の低レベル調査を依頼することを推奨します。」
Trendの追加推奨事項としては、CVE-2025-20352のパッチ適用、SNMPアクセスの強化(管理プレーンの到達性制限、ACLの強制)、侵害の兆候(IoC)や異常なUDP SNMPコントローラートラフィックを検出するネットワーク/エンドポイント検出の導入が挙げられます。また、Trend Cloud One Network Security、Trend Vision One、Deep Discoveryを組み合わせて、ZeroDisco対策のためのターゲットネットワーク検査およびXDRを推奨しています。
