Amazonの脅威インテリジェンスチームは、昨年夏にベンダーが欠陥を公開し修正する前に、Cisco Identity Service EngineおよびCitrix NetScaler製品に影響を与えるゼロデイ脆弱性を悪用する高度な持続的脅威(APT)グループを観測したと発表しました。
AmazonのMadPotハニーポットサービスは、CitrixのCVE-2025-5777およびCiscoのCVE-2025-20337という重大な欠陥の積極的な悪用を検知し、さらに調査を進めた結果、リソースの豊富な脅威アクターが攻撃の背後にいることを突き止めたと、Amazon統合セキュリティの最高情報セキュリティ責任者であるCJ Moses氏がブログ投稿で水曜日に述べました。
「両方の脆弱性を悪用していたのは同じ脅威アクターであると高い確信を持って評価しています」とMoses氏はCyberScoopへのメールで述べました。
Amazonは、今回の発見が複数の進行中の傾向を裏付けているとし、脅威グループがアイデンティティおよびネットワークエッジインフラへの関心を高めていることや、ベンダーが製品の欠陥を公開または修正する前にゼロデイとして脆弱性を迅速に武器化できる能力があることを挙げました。
攻撃の背後にいる脅威グループの起源や正体は依然として不明ですが、Moses氏は「スパイ活動のための標的への長期的なアクセスが最も可能性の高い目的です」と述べました。
Amazonの脅威研究者によると、脅威グループはCisco ISE環境向けに特別に設計されたバックドア付きのカスタムマルウェアを使用し、高度な回避技術を示していました。「脅威アクターのカスタムツールは、エンタープライズJavaアプリケーション、Tomcatの内部構造、およびCisco ISEの特有のアーキテクチャ的特徴を深く理解していることを示していました」とMoses氏はブログ投稿で述べています。
CiscoはCVE-2025-20337を6月25日に公開しましたが、Amazonによると悪用はすでに5月に始まっていました。Amazonは7月初旬に公開前の悪用を発見し、攻撃が5月と6月にさかのぼることを突き止めたとMoses氏は述べています。
Amazonはこの欠陥の積極的な悪用をCiscoに報告し、Ciscoは数時間以内に顧客へ問題を通知したとMoses氏は付け加えました。CVE-2025-20337の悪用による影響を受けた組織の数については情報を共有しませんでした。
Citrixは、同じ製品における2023年の欠陥と著しい類似点があることからCitrixBleed 2とも呼ばれるCVE-2025-5777を6月17日に公開しました。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は7月10日にこの脆弱性を既知の悪用脆弱性カタログに追加しました。
7月中旬までに、研究者は11.5百万回以上の攻撃試行が観測され、公開以降、数千のサイトが標的となっていることが分かりました。
Amazonは、CiscoおよびCitrixの欠陥に対するゼロデイの積極的な悪用に関する情報を数か月後に共有している理由について説明を拒否し、これらの脆弱性に関連する最近の攻撃について追加情報は持っていないと述べました。
Moses氏は、脅威グループが複数のゼロデイエクスプロイトを使用していることは、攻撃者が高度な脆弱性調査能力を持つか、未公開の脆弱性情報にアクセスできることを示していると指摘しました。
翻訳元: https://cyberscoop.com/amazon-threat-intel-apt-group-cisco-citrix-zero-days/
