概要
Cisco Talosは、Cisco AsyncOSソフトウェアにおけるゼロデイ脆弱性が活発に悪用されていることを明らかにしました。この脆弱性はCisco Secure Email GatewayとCisco Secure Email and Web Managerに影響を与え、攻撃者がリモートでシステムレベルのコマンドを実行し、高度なバックドアをデプロイすることを可能にします。
脅威アクター「UAT-9686」と攻撃期間
このキャンペーンの背後にいる脅威アクターはUAT-9686と追跡されており、中国に関連する高度な持続的脅威(APT)グループであると中程度の確度で評価されています。シスコは2025年12月10日に悪意のある活動を認識しましたが、証拠によれば、攻撃は少なくとも2025年11月下旬から継続していました。
巧妙な攻撃手法とツール
UAT-9686は、システム侵害と永続化のために複数のカスタムツールを展開しています。
- AquaShell: カスタム永続化メカニズムとして機能する軽量なPythonバックドアで、PythonベースのWebサーバー内の既存ファイルに埋め込まれます。これは、特別に細工されたデータを含む認証されていないHTTP POSTリクエストをリッスンし、カスタムアルゴリズムとBase64デコードを組み合わせてコマンドを実行します。
- AquaTunnel: オープンソースのReverseSSHバックドアに基づいており、侵害されたシステムから攻撃者制御下のサーバーへのリバースSSH接続を作成します。これにより、ファイアウォールの背後からでも不正なリモートアクセスが可能になります。
- Chisel: もう一つのトンネリングツールで、攻撃者は侵害されたエッジデバイスを介してトラフィックをプロキシし、内部ネットワークへの侵入を可能にします。
- AquaPurge:
egrepコマンドを使用してログファイルから特定のキーワードをクリアすることで、侵害の証拠を削除します。
中国系APTグループとの関連性
Cisco Talosは、UAT-9686の戦術、技術、手順(TTP)、インフラストラクチャ、および被害者の特徴が、APT41やUNC5174などの他の既知の中国系脅威アクターと重複していることを特定しています。特に、AquaTunnelのようなツールの使用は以前に明らかにされた中国のAPTグループと一致しており、AquaShellのようなカスタムメイドのWebベースのインプラントの使用は、高度な中国系APTの間で一般的な戦術となっています。
影響と推奨される対策
分析によると、非標準的な構成の機器がこの攻撃に対して特に脆弱であるとされています。シスコは、公式のセキュリティアドバイザリに掲載されているガイダンスに従うことを強く推奨しています。組織は、提供された侵害指標(IOC)への接続を確認し、疑わしい活動が検出された場合はCisco TACにケースをオープンする必要があります。このキャンペーンに関連するすべてのIOCは、シスコのポートフォリオ全体でブロックされています。