Follow
분석
아마존의 위협 인텔 팀은 Cisco Identity Services Engine의 CVE‑2025‑20337과 Citrix NetScaler ADC의 CVE‑2025‑5777이라는 두 가지 제로데이 취약점을 이용해 Cisco ISE 장치를 대상으로 하는 커스텀 메모리 내 Java 웹 셸을 배포하는 고급 위협 행위를 식별했습니다.
조사
이 활동은 아마존의 MadPot 허니팟 네트워크에서 처음 감지되었습니다. 분석가는 CVE‑2025‑5777 및 CVE‑2025‑20337에 대한 익스플로잇 시도가 있은 후 IdentityAuditAction이라는 커스텀 백도어가 전달되는 것을 관찰했습니다. 이 웹 셸은 메모리 내에서 전체적으로 실행되며, 자바 리플렉션을 사용하고, 톰캣 서버에 리스너를 등록하며, DES 및 비표준 Base64 인코딩으로 트래픽을 암호화합니다. 아마존은 이번 캠페인을 제로데이 능력과 기업 Java 및 네트워크 경계 장치에 대한 지식을 갖춘 고급 자원을 보유한 행위자에게 귀속시킵니다.
완화
CVE‑2025‑20337 (Cisco) 및 CVE‑2025‑5777 (Citrix)에 대한 공급업체 릴리스 패치를 즉시 적용하십시오. 방화벽, VLAN 분할 및 제로 트러스트 제어를 사용하여 관리 인터페이스에 대한 네트워크 액세스를 제한하십시오. 호스트 기반 침입 탐지를 배포하여 예기치 않은 자바 프로세스, 톰캣 수정 및 비정상적인 HTTP 트래픽을 모니터링하십시오. 관리자 계정에 다중 인증을 활성화하고 권한 있는 액세스를 정기적으로 감사하십시오.
대응
취약한 Cisco ISE 및 Citrix NetScaler 장치를 패치하고, 손상된 시스템을 격리하며 커스텀 웹 셸을 제거하십시오. 취약 지표를 식별하기 위해 로그 및 메모리 덤프의 법의학적 분석을 수행하십시오. SIEM 및 IDS/IPS의 탐지 규칙을 익스플로잇 페이로드 및 웹 셸 서명으로 업데이트하십시오. 관련 이해 관계자에게 통지하고 필요 시 적절한 당국에 사건을 보고하십시오.
graph TB %% 클래스 정의 classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% 취약점 vuln_cisco[“<b>취약점</b>: CVE‑2025‑20337 (Cisco ISE)”] class vuln_cisco builtin vuln_citrix[“<b>취약점</b>: CVE‑2025‑5777 (Citrix NetScaler)”] class vuln_citrix builtin %% 방어 회피를 위한 악용 tech_exploit[“<b>기법</b> – <b>T1211 방어 회피를 위한 취약점 악용</b><br/><b>설명</b>: 공격자는 CVE‑2025‑20337 및 CVE‑2025‑5777을 악용하여 관리 인터페이스에서 인증되지 않은 원격 코드 실행을 달성함”] class tech_exploit technique %% 원격 코드 실행 action_rce[“<b>행동</b> – 원격 코드 실행<br/><b>결과</b>: 공격자가 관리 인터페이스에서 코드 실행 권한을 획득함”] class action_rce action %% 웹 셸 배포 malware_webshell[“<b>악성코드</b> – 웹 셸 \”IdentityAuditAction\”<br/><b>위치</b>: 지속적인 접근을 제공하기 위해 Tomcat 서버 내부에 배포됨”] class malware_webshell malware %% 난독화된 파일 또는 정보 tech_obfuscate[“<b>기법</b> – <b>T1027 난독화된 파일 또는 정보</b><br/><b>설명</b>: 사용자 정의 웹 셸이 DES로 트래픽을 암호화하고 비표준 Base64 인코딩을 사용하여 탐지를 회피함”] class tech_obfuscate technique %% 아티팩트 은닉 tech_hide[“<b>기법</b> – <b>T1564 아티팩트 은닉</b><br/><b>설명</b>: 메모리 내 실행과 Java 리플렉션 주입을 통해 디스크에 파일을 기록하지 않고 셸을 실행함”] class tech_hide technique %% 서버 소프트웨어 구성 요소: 웹 셸 tech_webshell[“<b>기법</b> – <b>T1505.003 서버 소프트웨어 구성 요소: 웹 셸</b><br/><b>설명</b>: 웹 셸이 Tomcat에 상주하여 지속적인 명령 및 제어를 제공함”] class tech_webshell technique %% 명령 및 제어 행동 action_c2[“<b>행동</b> – 명령 및 제어<br/><b>기능</b>: 지속적인 C2 채널을 제공하고 모든 HTTP 요청을 모니터링함”] class action_c2 action %% 연결 vuln_cisco u002du002d>|활성화| tech_exploit vuln_citrix u002du002d>|활성화| tech_exploit tech_exploit u002du002d>|이어짐| action_rce action_rce u002du002d>|전달| malware_webshell malware_webshell u002du002d>|사용| tech_obfuscate malware_webshell u002du002d>|사용| tech_hide malware_webshell u002du002d>|제공| action_c2 malware_webshell u002du002d>|인스턴스| tech_webshell
공격 흐름
페이로드 시뮬레이션
시뮬레이션 실행
전제 조건: 텔레메트리 및 기본선 프리플라이트 검사를 통과해야 함.
-
공격 서사 및 명령:
초기 액세스: 공격자는 Cisco ISE 웹 인터페이스에서 인증되지 않은 파일 업로드 엔드포인트를 발견합니다. - 웹 셸 배포: 사용
curl을 사용하여 공격자는webshell.jar을iseComponent.jar로 가장하여 업로드합니다. 이 JAR에는 자바 리플렉션을 통해 임의의 Java 코드를 실행하는 악성 서블릿이 포함되어 있습니다 (java.lang.reflect.Method.invoke). - 난독화: 서블릿 내부의 페이로드는 DES로 암호화되고 간단한 패턴 매칭을 피하기 위해 커스텀 Base64 변형으로 인코딩됩니다.
-
실행 트리거: 공격자는 ISE 프로세스가 서블릿을 시작하도록 하는 위조된 HTTP 요청을 보내며, 이로 인해 다음과 유사한 명령줄이 생성됩니다:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy - 로깅: Cisco ISE는
IdentityAuditAction이벤트를 전체 명령줄과 함께 로깅하여 탐지 규칙 조건을 만족합니다. -
회귀 테스트 스크립트:
#!/usr/bin/env bash set -euo pipefail # Variables ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # DES-encrypted, custom Base64 CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="