概要
中国に関連する脅威クラスターUNC5221が、F5 BIG-IPを導入している組織を積極的に標的にしています。これは、国家主体の攻撃者がBIG-IPのソースコードの一部や脆弱性情報を含む社内開発データを盗み出した、F5に対する確認済みの侵害を受けた後の動きです。2025年10月15日、CISAは緊急指令 ED-26-01を発出し、連邦ネットワークに対する差し迫った脅威を警告するとともに、影響を受けるF5デバイスの緊急の棚卸し、ハードニング、パッチ適用を命じました。盗まれたコードにより、インターネットに露出した管理サービスに対する0-dayの迅速な発見と武器化のリスクが高まります。
F5は、8月9日に自社システム上で攻撃者を発見し、Bloombergが報じたように、ハッカーが同社ネットワーク内に少なくとも12か月 滞在していたことを顧客に通知したと明らかにしました。この発表は、継続中の法執行上の考慮により、米司法省の承認を受けてForm 8-KのItem 1.05(c)に基づきF5が侵害の公表を遅らせることを認められていたことを受けたものです。
ベンダーは、攻撃者に悪用された可能性のある未公表の重大な脆弱性やリモートコード実行脆弱性は把握しておらず、実際の攻撃で非公開の欠陥が使用された証拠もないと述べました。
証券取引委員会に提出された8-Kフォームによると、同社は8月9日に不正アクセスを初めて認識し、外部のサイバーセキュリティ・コンサルタントの起用を含む標準的なインシデント対応措置を開始しました。9月には司法省が、侵害が「国家安全保障または公共の安全に対する重大なリスク」と判断される場合に政府が認める枠組みに基づき、F5が公表を差し控えることを許可しました。
技術的詳細
ResecurityはBRICKSTORMバックドアの分析を最初に公開し、中国の脅威アクターの関与に関する追加情報を提供しています。 当社の調査では、チームがUNC5221のアプライアンスに特化した手口に関連する複数のアーティファクトを収集しました。証拠として保全された中で最も関連性の高い項目は次のとおりです。
- BRICKSTORMファミリーと整合する静的リンクされたGo製ELFバックドア
- エッジデバイス上でバックドアをステージングし永続化するために使用される小規模な展開スクリプト。
- 同一のアクターセットが足場確保後に認証情報を収集するために使用したサーブレットフィルターのWebコンポーネント。
以下の分析は、これらのアーティファクトの静的/動的レビューに基づいています。
このバックドアは、ユーザーランドが限定されたアプライアンス向けにパッケージ化された自己完結型で依存関係のない実行ファイル(Go、linux/amd64)であり、完全なWebトランスポート(TLSクライアント、HTTP/1.1/HTTP/2パス、WebSocketのアップグレード/セッション処理)を内蔵しています。さらに、1つのソケット上で多数の論理ストリームを多重化するためのYamux、TCPピボットのためのSOCKS機構、Webらしく見せるファイルのステージング/持ち出しのための完全なmultipart/form-dataスタックも備えています。
YamuxはGolang向けの多重化ライブラリです。TCPやUnixドメインソケットなど、信頼性と順序性を提供する基盤となる接続に依存し、ストリーム指向の多重化を提供します。
YamuxはSPDYに着想を得ています。SPDYはWeb性能を改善するための実験的プロトコルとして、Googleにより2009年後半に導入されました。しかし、SPDYは2016年初頭に正式に非推奨となりました。
この攻撃では、攻撃者はエクスプロイトを使用し、コード実行を得た後にBIG-IPデバイス上へELFファイルを配置します。次に、HTTP/2をネゴシエートし、永続的なC2トンネルのために接続をWebSocketへアップグレードするアウトバウンドのTLSを確立するよう設定し、オペレーターが指定したC2パラメータで起動して、Yamuxにより単一ソケット上で同時ストリームを多重化します。
そのセッション内でアクターは、アプライアンスの管理IPから内部アプリケーションへ到達するためのSOCKS風プロキシを有効化し、multipart/form-dataにbase64/quoted-printableと圧縮を組み合わせて同一チャネル上でデータを移動させ、持ち出しが通常のWebトラフィックに見えるようにします。
ELFファイル内にハードコードされたドメインや認証情報が存在しないことが確認されており、攻撃者はおそらくゼロデイを用いてアクセスを獲得し、問題なく標的へコールバックできることを示唆しています。
攻撃者が(0-dayまたは保護の弱いサービス経由で)コード実行を得ると、BRICKSTORMはBIG-IPを、ログが最小限で長期潜伏が可能なステルスな外向き通信ポイントおよび内部プロキシへと変えることができます。
起源
当社の分析では、攻撃者が公開リポジトリを活用していることが判明しました。コードベースの一部は、中国で管理されているリポジトリに由来しているように見受けられます。これらのリポジトリ内の一部プロジェクトは、ユーザーのシステムを攻撃する目的で悪意をもって設計されています。
更新(2025年12月19日):
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)、国家安全保障局(NSA)、およびカナダ・サイバーセキュリティセンターは、侵害指標(IOC)と追加のBRICKSTORMサンプル向け検知シグネチャを含む「マルウェア分析レポート:BRICKSTORMバックドア」への更新を公開しました。
この更新では、Rustベースのサンプルを含む追加サンプルに関する情報が提供されています。これらのサンプルは、バックグラウンドサービスとして実行するなどの高度な永続化および防御回避メカニズム、ならびに暗号化されたWebSocket接続を通じた強化されたコマンド&コントロール機能を示しています。
MITRE ATT&CK 技術
| 戦術 | 技術ID | 技術名 | 説明 | 証拠/注記 |
|---|---|---|---|---|
| 初期アクセス | T1190 | 公開されているアプリケーションの悪用 | インターネットに露出したBIG-IPの管理/サービスを侵害してコード実行を獲得(盗まれたソースと脆弱性インテリジェンスによりリスクが増大)。 | 0-dayの発見と武器化;攻撃者はエクスプロイトを使用し、BIG-IP上にELFを配置。 |
| 実行 | T1204.002 | 悪意のあるファイル | オペレーターが実行時C2パラメータを付与して、アプライアンス上でELFバックドアを起動。 | ELFファイルを配置;オペレーター指定のC2パラメータで起動。 |
| 実行 | T1106 | ネイティブAPI | インプラントがOS/ランタイムAPIを介してシステム/ファイル/ネットワーク操作を実行。 | 完全なWebトランスポートとファイルのステージング/持ち出しを備えた自己完結型実行ファイル。 |
| 永続化 | T1543.002 | システムプロセスの作成/変更: systemd | systemdユニットを作成/変更して、起動時にインプラントが自動起動するようにする。 | 永続化のためにsystemdエントリを変更。 |
| 防御回避 | T1027 | 難読化/圧縮されたファイルおよび情報 | コンテンツ検査を回避するため、multipart内でbase64/quoted-printableと圧縮によりデータをラップ。 | base64/quoted-printableと圧縮を伴うmultipart/form-data。 |
| 防御回避 | T1036 | なりすまし | HTTP/2およびWebSocket上でC2/ファイル移動を行い、通常のWebトラフィックに紛れ込ませる。 | HTTP/2;WebSocket;Webらしく見せるファイルのステージング/持ち出し。 |
| 認証情報アクセス | T1556 | 認証プロセスの改変 | 隣接インフラ(例:vCenter)上のサーブレットフィルター/Webコンポーネントがログイン時に認証情報を捕捉。 | 足場確保後に認証情報を収集するために使用されたサーブレットフィルターのWebコンポーネント。 |
| ラテラルムーブメント | T1090 | プロキシ | アプライアンスの管理IPから内部サービスへ到達するためのSOCKS風プロキシ。 | 内部アプリケーションへ到達するためのSOCKS風プロキシを有効化。 |
| ラテラルムーブメント | T1572 | プロトコルトンネリング | yamuxを使用して、単一のTLS/WSソケット上で複数の論理ストリームを多重化。 | Yamuxにより1つのソケット上で同時ストリームを多重化。 |
| コマンド&コントロール | T1071.001 | Webプロトコル(HTTPS) | TLS/HTTP(S)上の主要C2で、しばしばHTTP/2(ALPN h2)をネゴシエート。 | HTTP/2をネゴシエートするアウトバウンドTLSを確立。 |
| コマンド&コントロール | T1071.004 | アプリケーション層プロトコル: WebSocket | C2のための長寿命の双方向WebSocketトンネル。 | 永続的なC2トンネルのために接続をWebSocketへアップグレード。 |
| コマンド&コントロール | T1573 | 暗号化チャネル | TLSがすべてのC2およびデータ移動を保護。 | アウトバウンドTLS;永続トンネル。 |
| コマンド&コントロール | T1090.003 | マルチホップ・プロキシ | アプライアンスが環境へのステルスな外向き通信ポイントとして機能。 | BIG-IPをステルスな外向き通信ポイントおよび内部プロキシに変える。 |
| 収集 | T1005 | ローカルシステムからのデータ | C2チャネル上で転送するために、ファイルをローカルにステージングして準備。 | multipart/form-dataによるファイルのステージング/持ち出し。 |
| 持ち出し | T1041 | C2チャネル経由の持ち出し | 確立済みのTLS/WebSocketチャネルを通じてmultipartフレームでデータを送信。 | 同一チャネル上でデータを移動…通常のWebトラフィックに見える。 |
| 収集/準備 | T1560 | 収集データのアーカイブ | 転送前にデータを圧縮/エンコードして検知可能性を低減。 | multipart内の圧縮+base64/quoted-printable。 |
今すぐパッチ適用
F5は、BIG-IP(全モジュール)、F5OS(A/C)、BIG-IP Next(SPK/CNF)にまたがる20件超の脆弱性を開示しており、その中にはインターネットに露出した管理サービスのリモート悪用を可能にし得る問題が複数含まれています。上記に列挙された影響を受けるバージョンを運用している場合は、緊急事態として扱ってください。管理プレーンの公開を停止し、外向き通信を制限し、ベンダーの最新の修正版リリースへ直ちにアップグレードしてください。パッチ適用後は、デバイスが影響を受けるバージョン範囲に該当しないことを確認し、必要なサービスのみを再有効化し、アプライアンスのサブネットからの異常なHTTP/2/WebSocket外向き通信を監視してください。
| 脆弱性 | 影響を受ける製品 |
|---|---|
| CVE-2025-53868 | BIG-IP(全モジュール) |
| CVE-2025-61955 | F5OS-A;F5OS-C |
| CVE-2025-57780 | F5OS-A;F5OS-C |
| CVE-2025-60016 | BIG-IP(全モジュール);BIG-IP Next SPK;BIG-IP Next CNF |
| CVE-2025-48008 | BIG-IP(全モジュール) |
| CVE-2025-59781 | BIG-IP(全モジュール) |
| CVE-2025-41430 | BIG-IP SSL Orchestrator |
| CVE-2025-55669 | BIG-IP ASM |
| CVE-2025-61951 | BIG-IP(全モジュール) |
| CVE-2025-55036 | BIG-IP SSL Orchestrator |
| CVE-2025-54479 | BIG-IP PEM;BIG-IP Next CNF |
| CVE-2025-46706 | BIG-IP(全モジュール) |
| CVE-2025-59478 | BIG-IP AFM |
| CVE-2025-61938 | BIG-IP Advanced WAF/ASM |
| CVE-2025-54858 | BIG-IP Advanced WAF/ASM |
| CVE-2025-58120 | BIG-IP Next SPK;BIG-IP Next CNF |
| CVE-2025-53856 | BIG-IP(全モジュール) |
| CVE-2025-61974 | BIG-IP(全モジュール);BIG-IP Next SPK;BIG-IP Next CNF |
| CVE-2025-58071 | BIG-IP(全モジュール);BIG-IP Next CNF |
| CVE-2025-53521 | BIG-IP APM |
| CVE-2025-61960 | BIG-IP APM |
| CVE-2025-54854 | BIG-IP APM |
| CVE-2025-53474 | BIG-IP APM |
| CVE-2025-61990 | BIG-IP(全モジュール);BIG-IP Next SPK;BIG-IP Next CNF |
| CVE-2025-58096 | BIG-IP(全モジュール) |
| CVE-2025-61935 | BIG-IP Advanced WAF/ASM |
侵害指標(IOCs)
SHA-256: 90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035
ファイル名: Pg_update
分類: BRICKSTORM(Go ELFバックドア)
注記: 目立たないようにするためのSystem/updateヘルパー。
SHA-256: 2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df
ファイル名: Listener
分類: BRICKSTORM(Go ELFバックドア)
注記: リスナーコンポーネント;C2/ソケット処理に使用。
SHA-256: aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878
ファイル名: Vmprotect
分類: BRICKSTORM(Go ELFバックドア)
注記: VMProtectバージョン
