Команда Cisco Talos раскрыла активную кампанию таргетированных атак, нацеленную на ключевые продукты для защиты корпоративной переписки - Cisco Secure Email Gateway и Cisco Secure Email and Web Manager. Злоумышленники, отслеживаемые под идентификатором UAT-9686, используют уязвимости в программном обеспечении AsyncOS для получения контроля над устройствами и развёртывания сложного набора вредоносных инструментов. Специалисты оценивают с умеренной уверенностью, что за атаками стоит китайская группа продвинутых постоянных угроз (Advanced Persistent Threat, APT).
Описание
Активность была зафиксирована в начале декабря года, однако анализ показывает, что кампания продолжается как минимум с конца ноября. Основной целью атакующих являются аппаратные и программные решения, ранее известные как Cisco Email Security Appliance (ESA) и Cisco Content Security Management Appliance (SMA). Эти устройства играют критическую роль в инфраструктуре безопасности, выполняя фильтрацию электронной почты, управление политиками и централизованный сбор отчетов.
По данным исследователей, успешному взлому подвергаются системы с нестандартными конфигурациями, подробно описанными в официальном бюллетене Cisco. После получения доступа злоумышленники разворачивают специально созданный бэкдор (backdoor), получивший название AquaShell. Этот инструмент написан на Python и внедряется в существующие файлы веб-сервера на целевой системе. AquaShell пассивно ожидает неаутентифицированные HTTP POST-запросы, содержащие закодированные команды. При получении такого запроса бэкдор декодирует полезную нагрузку (payload) с помощью кастомного алгоритма и Base64, после чего выполняет команды на уровне оболочки системы.
Для обеспечения постоянного доступа (persistence) и скрытного перемещения в сети UAT-9686 использует дополнительные утилиты. Среди них - AquaTunnel, скомпилированный бинарный файл на Go, основанный на открытом инструменте ReverseSSH. Он создает обратное SSH-подключение с компрометированного устройства на сервер под контролем злоумышленников, что позволяет обходить сетевые экраны и трансляцию адресов (NAT). Другой инструмент, Chisel, служит для туннелирования TCP/UDP-трафика через HTTP-соединение, что дает атакующим возможность использовать скомпрометированное периферийное устройство как точку входа для проникновения глубже в корпоративную сеть.
Третьим ключевым компонентом в арсенале группы является утилита AquaPurge, предназначенная для очистки журналов событий. Она удаляет из лог-файлов строки, содержащие определенные ключевые слова, что существенно затрудняет обнаружение следов взлома и проведение расследования. Эксперты Talos отмечают, что наблюдаемые тактики, техники и процедуры (Tactics, Techniques and Procedures, TTPs), а также инфраструктура и выбор жертв демонстрируют пересечения с другими известными китайскими APT-группами, такими как APT41 и UNC5174. В частности, использование кастомного веб-импланта, подобного AquaShell, становится отличительной чертой высокопрофессиональных угроз, связанных с Китаем.
Cisco выпустила рекомендации для клиентов, настоятельно советуя проверить конфигурации управляемых устройств на соответствие стандартным настройкам безопасности. Компания также рекомендует применять все доступные обновления и следовать инструкциям, изложенным в связанных бюллетенях безопасности. Данный инцидент подчеркивает растущий интерес государственных хакерских групп к сетевым устройствам безопасности, компрометация которых позволяет не только перехватывать трафик, но и получать плацдарм для атак на внутренние сегменты организаций.
Индикаторы компрометации
IPv4
- 172.233.67.176
- 172.237.29.147
- 38.54.56.95
SHA256
- 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca
- 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef
- 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc
