Cisco Talosのアドバイザリによると、国家支援の脅威アクターが、Ciscoのファイアウォールプラットフォームに存在する2つの脆弱性を悪用した高度なサイバースパイ活動キャンペーンを開始しました。
ArcaneDoorと名付けられたこのキャンペーンは、境界ネットワーク機器を標的にし、攻撃者が組織のシステム内部で、トラフィックの迂回や改変、ネットワーク通信の監視など、さまざまな行動を実行できるようにします。
Ciscoは、このキャンペーンの背後にいる脅威アクターとして、TalosおよびMicrosoft Threat Intelligence CenterがそれぞれUAT4356、STORM-1849として追跡している存在を特定しました。
「このアクターは、スパイ活動に明確に焦点を当て、標的としたデバイスに関する深い知識を示す独自ツールを利用しており、洗練された国家支援アクターの特徴が見られます」とCisco Talosは記しました。
同社は、このキャンペーンが過去2年間における境界ネットワーク機器への標的化の「劇的かつ持続的な増加」という傾向に合致すると指摘しました。特に、エネルギー企業など、多くの外国政府にとって戦略的に関心の高い標的となり得る重要インフラ組織が狙われています。
ArcaneDoorによる組織の標的化の手口
Talosは、UAT4356がこのスパイ活動キャンペーンを実行するために用いた高度な攻撃チェーンを概説しており、少数の顧客を対象にカスタムマルウェアを埋め込み、コマンドを実行していました。
同社は2024年初頭、Cisco Adaptive Security Appliance(ASA)デバイス上の不審な活動について最初に警告を受け、調査の結果、アクターが制御するインフラが2024年11月初旬まで遡って確認されました。
また、この能力が2023年7月という早い時期からテストおよび開発されていたことを示す証拠もあります。
分析により追加の被害者も特定されましたが、いずれも世界各地の政府ネットワークが関与していました。
初期侵入ベクターは未解明である一方、Talosは、脅威アクターが本キャンペーンで、これまで未知だった2つの脆弱性(CVE-2024-20353およびCVE-2024-20359)を悪用したと述べました。これらの脆弱性に対する修正は現在提供されています。
その後、UAT4356が標的を侵害すると、「Line Runner」と「Line Dancer」と呼ばれる2つのバックドアが使用されました。これらは組み合わせて、設定変更、偵察、ネットワークトラフィックの取得/持ち出し、そして潜在的なラテラルムーブメントなど、標的上での悪意ある行為を実行するために用いられました。
Line Dancerはメモリ常駐のみのインプラントで、攻撃者が任意のシェルコード・ペイロードをアップロードして実行できるよう設計されています。
攻撃者はhost-scan-replyフィールドを介してシェルコードを送信し、それがLine Dancerインプラントによって解析されます。
Talosは、脅威アクターがLine Dancerを用いて、syslogの無効化、show configurationコマンドの実行と持ち出し、パケットキャプチャの作成と持ち出しなど、さまざまな作業を行っていることを観測しました。
攻撃者が展開した2つ目のマルウェアであるLine Runnerは、侵害されたASAデバイス上で永続性を維持するために使用されます。
これは、ASAにおけるレガシー機能(デバイス上にVPNクライアントとプラグインを事前ロードできる機能)に関連する仕組みを利用します。この脆弱性にはCVE-2024-20359が割り当てられています。
もう一方の脆弱性(CVE-2024-20353)も、このプロセスを容易にするために悪用されました。標的のASAデバイスを再起動させ、Line Runnerの第2コンポーネントの解凍とインストールをトリガーします。
zipファイル内のスクリプトにより、脅威アクターはASAに対して永続的なHTTPベースのLuaバックドアを維持でき、再起動やアップグレード後も存続します。
国家支援アクターによるものと帰属
キャンペーンの高度さと被害者の特徴を踏まえ、Talosは高い確信をもって、国家支援アクターによって実行されたと評価しました。
研究者らはまた、UAT4356が悪性アーティファクトのフォレンジック取得を妨げようとして、「明確かつ意図的な手順」を踏んでいたことも指摘しました。
これには、デバイスのAuthentication, Authorization and Accounting(AAA)機能をフックし、アクターが通常のAAA処理を回避できるようにすることが含まれていました。
Talosは次のように述べています。「このトレードクラフトは、ASA自体および、Ciscoがネットワーク機器の完全性検証のために一般的に実施するフォレンジック作業について、徹底した理解があることを示唆しています。」
カナダ・サイバーセキュリティセンター(Cyber Centre)、オーストラリア信号局のAustralian Cyber Security Centre、英国のNational Cyber Security Centre(NCSC)が4月24日に共同で公開したアドバイザリでは、政府および全セクターのIT担当者と管理者に対し、この脅威について警告し、利用可能なパッチを直ちに適用するよう強く求めています。
同アドバイザリは、攻撃者の能力が、十分なリソースを持つ高度な国家支援アクターによるスパイ活動を示唆していると述べました。
Cisco顧客に対応を呼びかけ
悪用された2つの脆弱性に対するパッチがリリースされており、ASAソフトウェアを使用している組織は、デバイスが侵害されていないと考えている場合でも、パッチ適用済みバージョンへアップグレードするよう求められています。
Talosはさらに、提供元にかかわらず、すべてのネットワーク機器は適切にパッチを適用し、中央の安全な場所へログを送信し、強力な多要素認証(MFA)を設定する必要があると付け加えました。
同社のアドバイザリでは、このキャンペーンで標的にされた可能性があると疑うASA顧客向けの助言も示されています。
内容は次のとおりです:
- Talosのアドバイザリで提供されているIOCリストに含まれるIPアドレスのいずれかに対して、ASAデバイスとの間で発生しているフロー(送受信)を確認する
- 別の侵害指標を特定するために、「show memory region | include lina」コマンドを実行する。出力が複数の実行可能メモリ領域を示す場合、改ざんの可能性がある兆候です
- 初動対応者向け Cisco ASA フォレンジック調査手順に記載された手順に従う。この文書は、侵害または改ざんが疑われるCisco ASAデバイスから、フォレンジック的に健全な方法で証拠を収集するためのガイダンスを提供します
翻訳元: https://www.infosecurity-magazine.com/news/stateespionage-campaign-cisco/
