国家支援のハッキンググループがCiscoネットワークセキュリティデバイスにカスタムバックドアを埋め込み、ファームウェア更新と標準的な再起動に耐えることができることが、米国と英国のサイバーセキュリティ当局により木曜日に発表された。これは少なくとも2025年後期から政府機関と重要インフラネットワークを標的にしてきたキャンペーンの著しい拡大を示している。
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁と英国国家サイバーセキュリティセンターが共同で発表したマルウェア分析レポートで、Firestarter(ファイアースターター)というコード名のバックドアを特定した。Ciscoの脅威インテリジェンス部門Talosは、このマルウェアをUAT-4356として追跡する脅威アクターに帰属させた。同社は同じグループを2024年のスパイキャンペーンArcaneDoorに帰属させており、このキャンペーンはネットワーク周辺デバイスの侵害に焦点を当てていた。
CISAは継続的なネットワーク監視を通じて疑わしい接続を特定した後、米国連邦民間機関のCisco Firepowerデバイス上でFirestarterを発見したことを確認した。この発見により木曜日に発表された更新された緊急指令が発行され、すべての連邦民間機関にCiscoファイアウォールインフラを監査し、デバイスメモリスナップショットを分析のため金曜日までに提出することを要求している。
パッチを超えて持続するバックドア
更新された指令を推し進める中心的な懸念は、企業がCiscoが2025年9月にリリースしたセキュリティパッチを適用した後でも、攻撃グループが侵害されたデバイス上に保持する能力である。これらのパッチはUAT-4356が初期アクセスを得るために悪用した2つの脆弱性に対処した —VPN Webサーバコンポーネントのリモートコード実行フローCVE-2025-20333と不正アクセス脆弱性CVE-2025-20362。CISAによると、パッチ適用前に侵害されたデバイスはまだマルウェアを保持している可能性がある。
FirestarterはCisco Service Platformマウントリストを操作することで、攻撃者が永続性を達成することを可能にする。これはデバイスのブートシーケンス中に実行されるプログラムを管理する設定ファイルである。デバイスが終了信号を受け取るか再起動に入ると、マルウェアは自身をセカンダリロケーションにコピーし、マウントリストを再書き込みして、システムがオンラインに戻った後に自身を復元および再起動する。
重要なことに、標準的なソフトウェア再起動ではマルウェアは削除されない。CISAとCiscoの両方によると、ハードリブート—デバイスを電源から物理的に切断する—だけが、メモリから永続性メカニズムを除去するのに十分である。
その後、マルウェアは悪意のあるシェルコードをLINAに注入する。これはCiscoのAdaptive Security ApplianceおよびFirepower Threat Defenseソフトウェアのコアネットワークおよびファイアウォーリングコードである。埋め込まれると、マルウェアはVPN認証に通常使用される特定の種類のネットワークリクエストを傍受する。隠されたトリガーシーケンスを含むリクエストが到着すると、攻撃者によって供給されたコードを実行し、彼らにデバイスへのバックドアを与える。
進行中のキャンペーンへの関連
Cisco Talosは、FirestarterがRayInitiatorと呼ばれる以前に文書化されたマルウェアと著しい技術的類似性を共有することに注目した。これはツールがUAT-4356のアーセナル内で共通の起源または開発履歴を共有していることを示唆している。
CISAによって分析された連邦機関のインシデントでは、攻撃者はまずLine Viperと呼ばれる別のマルウェアを展開して、デバイス設定、認証情報、および暗号化キーへのアクセスを取得した。FirestarterはCiscoの2025年9月のパッチがこれらの特定のデバイスに適用される前に、その直後にインストールされた。機関がシステムにパッチを適用すると、Firestarter はデバイス上に留まり、アクターはそれを使用して3月にLine Viperを再度展開した。初期侵害からほぼ6か月後である。
CiscoとCISAはスパイ活動の攻撃を特定の国家に帰属させなかったが、Censysの研究者は以前、中国を拠点とする脅威グループがArcaneDoorキャンペーンの背後にいることを示す説得力のある証拠を発見したと述べた。Censysは、2024年初期の攻撃への調査中に、複数の主要な中国ネットワークと中国開発の検閲回避ソフトウェアの証拠を発見したことに注目した。
永続性の脆弱性は、Firepower 1000、2100、4100、および9300シリーズを含む広範なCiscoハードウェア、ならびにSecure Firewall 1200、3100、および4200シリーズに影響を与える。
Ciscoは永続性メカニズムに対処するための更新されたソフトウェアをリリースしたが、同社は侵害が疑われる場合、ソフトウェア更新のみに依存するのではなく、影響を受けたデバイスのリイメージングを強く推奨している。
このインシデントは、国家関連のハッカーの間でますます見られるパターンを反映している:組織がセキュリティ境界を適用するために依存するネットワークエッジデバイスを標的にすること。これらのアプライアンスはエンタープライズおよび政府ネットワークの周辺にあるため、それらを侵害すると内部トラフィックを露出させ、攻撃者に認証情報と通信を傍受する位置を与える可能性がある。
CISAは、根本的な脆弱性のアクティブな悪用が公開時に進行中であることを認めた。
Ciscoのスポークスパーソンは、CyberScoopに対し、支援が必要なお客様はCisco Technical Assistanceに連絡してサポートを受けるべきだと述べた。CISAはコメント要求に応じなかった。
翻訳元: https://cyberscoop.com/cisco-firestarter-malware-cisa-warning/
