Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
分析
Amazon の脅威インテリジェンステームは、高度な脅威アクターが 2 つのゼロデイの脆弱性―Cisco Identity Services Engine の CVE‑2025‑20337 と Citrix NetScaler ADC の CVE‑2025‑5777 を活用しているのを特定しました。これにより、Cisco ISE アプライアンスを狙ったカスタムインメモリー Java ウェブシェルが展開されました。
調査
この活動は Amazon の MadPot ハニーポットネットワークによって最初にフラグが立ちました。アナリストは、CVE‑2025‑5777 と CVE‑2025‑20337 に対するエクスプロイト試行を観察し、その後、IdentityAuditAction と名付けられたカスタムバックドアの配信を観察しました。このウェブシェルは完全にメモリー内で動作し、Java リフレクションを使用し、Tomcat サーバーにリスナーを登録し、DES と非標準の Base64 エンコーディングを使ってトラフィックを暗号化します。Amazon は、このキャンペーンをゼロデイ機能とエンタープライズ Java およびネットワークエッジデバイスに関する知識を持つ高リソース アクターによるものとしています。
緩和策
CVE‑2025‑20337 (Cisco) および CVE‑2025‑5777 (Citrix) のベンダーがリリースしたパッチを直ちに適用してください。管理インターフェースへのネットワークアクセスをファイアウォール、VLAN セグメンテーション、およびゼロトラスト コントロールを使用して制限します。予期しない Java プロセス、Tomcat の変更、および異常な HTTP トラフィックを監視するためのホストベースの侵入検知を配備します。管理アカウントに多要素認証を有効にし、特権アクセスを定期的に監査します。
対応
脆弱な Cisco ISE および Citrix NetScaler デバイスのパッチを当て、被害を受けたシステムを隔離し、カスタムウェブシェルを削除します。ログとメモリダンプのフォレンジック分析を行い、侵害の指標を特定します。SIEM と IDS/IPS の検出ルールをエクスプロイトペイロードとウェブシェルのシグニチャに更新します。関連する利害関係者に通知し、必要であれば、適切な当局にインシデントを報告します。
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% Vulnerabilities vuln_cisco[“<b>脆弱性</b>: CVE‑2025‑20337 (Cisco ISE)”] class vuln_cisco builtin vuln_citrix[“<b>脆弱性</b>: CVE‑2025‑5777 (Citrix NetScaler)”] class vuln_citrix builtin %% Exploitation for Defense Evasion tech_exploit[“<b>Technique</b> – <b>T1211 防御回避のための脆弱性悪用</b><br/><b>Description</b>: 攻撃者は CVE‑2025‑20337 と CVE‑2025‑5777 を悪用し、管理インターフェイスで認証なしリモートコード実行を達成する。”] class tech_exploit technique %% Remote code execution action_rce[“<b>Action</b> – リモートコード実行<br/><b>Result</b>: 攻撃者が管理インターフェイスでコード実行を得る。”] class action_rce action %% Web shell deployment malware_webshell[“<b>Malware</b> – Web Shell 「IdentityAuditAction」<br/><b>Location</b>: Tomcat サーバ内に展開され、永続的なアクセスを提供する。”] class malware_webshell malware %% Obfuscated Files or Information tech_obfuscate[“<b>Technique</b> – <b>T1027 難読化ファイルまたは情報</b><br/><b>Description</b>: カスタム Web Shell は DES で通信を暗号化し、非標準 Base64 エンコードを使用して検知を回避する。”] class tech_obfuscate technique %% Hide Artifacts tech_hide[“<b>Technique</b> – <b>T1564 アーティファクトの隠蔽</b><br/><b>Description</b>: インメモリ実行と Java リフレクション注入により、ファイルをディスクに書き込まずにシェルを実行可能。”] class tech_hide technique %% Server Software Component: Web Shell tech_webshell[“<b>Technique</b> – <b>T1505.003 サーバソフトウェアコンポーネント: Web Shell</b><br/><b>Description</b>: Web Shell は Tomcat 内で永続化され、継続的な C2 を提供する。”] class tech_webshell technique %% Command and Control actions action_c2[“<b>Action</b> – コマンド&コントロール<br/><b>Function</b>: 永続的な C2 チャンネルを提供し、すべての HTTP リクエストを監視する。”] class action_c2 action %% Connections vuln_cisco –>|有効化| tech_exploit vuln_citrix –>|有効化| tech_exploit tech_exploit –>|続く| action_rce action_rce –>|展開| malware_webshell malware_webshell –>|使用| tech_obfuscate malware_webshell –>|使用| tech_hide malware_webshell –>|提供| action_c2 malware_webshell –>|インスタンス| tech_webshell
攻撃フロー
ペイロード シミュレーション
シミュレーション実行
前提条件: テレメトリー & ベースライン プレフライトチェックが合格していること。
-
攻撃ナラティブとコマンド:
初期アクセス:攻撃者が Cisco ISE ウェブインターフェース上の認証されていないファイルアップロードエンドポイントを発見。 - ウェブシェルの展開:使用
curlにより、攻撃者はwebshell.jarをiseComponent.jarと偽装してアップロードします。JAR には悪意のあるサーブレットが含まれており、呼び出すと、リフレクションを通じて任意の Java コードを実行します (java.lang.reflect.Method.invoke). - 難読化:サーブレット内のペイロードは DES で暗号化され、カスタム Base64 変種でエンコードして、単純なパターンマッチングを回避します。
-
実行トリガー:攻撃者は偽造された HTTP リクエストを送り、ISE プロセスにサーブレットを起動させ、次のようなコマンドラインを実行します:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy - ログ記録:Cisco ISE は
IdentityAuditActionイベントをフルコマンドラインで記録し、検出ルール条件を満足します。 -
リグレッションテストスクリプト:
#!/usr/bin/env bash set -euo pipefail # Variables ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # DES 暗号化、カスタム Base64 CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="