Cisco Talosは、Cisco AsyncOS Softwareのゼロデイ脆弱性を悪用する進行中のキャンペーンを発見しました。影響を受けるのはCisco Secure Email GatewayおよびCisco Secure Email and Web Managerです。
このセキュリティ上の欠陥により、攻撃者はシステムレベルのコマンドをリモートで実行し、侵害されたシステムに高度なバックドアを展開できます。
UAT-9686として追跡されているこのキャンペーンの背後にいる脅威アクターは、中国に関連する高度持続的脅威(APT)グループである可能性が中程度の確度で評価されています。
Ciscoは2025年12月10日にこの悪意ある活動を把握しましたが、証拠によれば攻撃は少なくとも2025年11月下旬から継続していることが示唆されています。
攻撃手法
UAT-9686は「AquaShell」と呼ばれる独自の永続化メカニズムを展開します。これは、PythonベースのWebサーバー内の既存ファイルに埋め込まれる軽量なPythonバックドアです。
このバックドアは、特別に細工されたデータを含む認証不要のHTTP POSTリクエストを待ち受け、カスタムアルゴリズムとBase64デコードを組み合わせてそれを復号したうえで、侵害されたアプライアンス上でコマンドを実行します。
攻撃ツールキットには、いくつかの追加ツールも含まれます。オープンソースのReverseSSHバックドアを基にしたAquaTunnelは、侵害されたシステムから攻撃者が管理するサーバーへリバースSSH接続を作成し、ファイアウォールの背後であっても不正なリモートアクセスを可能にします。
別のトンネリングツールであるChiselは、侵害されたエッジデバイスを介してトラフィックをプロキシし、内部ネットワークへ横展開(ピボット)することを可能にします。
AquaPurgeは、egrepコマンドを使用してログファイルから特定のキーワードを削除し、証拠隠滅を行います。
Cisco Talosは、UAT-9686と他の既知の中国関連の脅威アクターとの間で、戦術・技術・手順(TTP)、インフラ、標的特性に重複があることを特定しました。
使用されているツール群、とりわけAquaTunnelは、APT41やUNC5174を含む、これまでに公開されている中国系APTグループと整合します。
AquaShellのようなカスタムメイドのWebベースのインプラントの使用は、高度な中国関連APTの間でますます一般的な戦術となっています。
分析によれば、Ciscoのセキュリティアドバイザリに詳述されているとおり、標準外の構成を持つアプライアンスが主にこの攻撃の影響を受けやすいとされています。
Ciscoの顧客には、公式のセキュリティアドバイザリで公開されているガイダンスに従うことが強く推奨されます。
組織は、提示された侵害指標(IOC)への接続がないか確認し、不審な活動が検出された場合はCisco TACにケースを起票すべきです。このキャンペーンに関連するすべてのIOCは、Ciscoのポートフォリオ全体でブロックされています。
翻訳元: https://gbhackers.com/cisco-asyncos-0-day/
