複数ライセンス割引見積
脅威データベース バックドア FIRESTARTER Backdoor

FIRESTARTER Backdoor

バックドア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

サイバーセキュリティアナリストらは、2025年9月に、シスコのFirepowerデバイス上で動作するAdaptive Security Appliance(ASA)ソフトウェアが侵害された事件について、名称非公開の連邦政府機関が被害を受けたことを明らかにした。調査の結果、これまで報告されていなかったFIRESTARTERというマルウェアが発見された。このマルウェアは、被害を受けたシステムへの秘密裏のリモートアクセスと長期的な制御を目的としている。

今回の侵入は、高度な持続的脅威(APT)グループが、既知の脆弱性を悪用してCisco ASAファームウェアを標的とした、より広範な攻撃キャンペーンの一環であると考えられている。これらの脆弱性は後に修正された。

高リスクなCiscoの脆弱性を悪用した初期侵入

報道によると、攻撃者はシスコの2つの深刻なセキュリティ上の欠陥を悪用して、公開されているデバイスに侵入した。

  • CVE-2025-20333 (CVSS 9.9): 入力検証の不備により、有効なVPN認証情報を持つ認証済みのリモート攻撃者が、細工されたHTTPリクエストを介してroot権限で任意のコードを実行できる可能性があります。
  • CVE-2025-20362 (CVSS 6.5): 不適切な入力検証により、認証されていないリモート攻撃者が細工されたHTTPリクエストを使用して制限されたURLエンドポイントにアクセスできる可能性があります。

パッチは提供されていますが、修復前に侵害を受けたシステムは、依然として危険な状態にある可能性があります。

FIRESTARTERにより、パッチ適用後も永続的なアクセスが可能になります。

FIRESTARTERは、ファームウェアのアップグレードや通常の再起動後も動作し続ける能力が特徴的です。このマルウェアは、デバイスのマウントシーケンスを変更することで起動プロセスに潜り込み、機器が正常に再起動されるたびに自動的に再アクティブ化されるようにします。

インプラントを一時的に停止できるのは、強制的な電源サイクルのみです。通常のシャットダウン、リロード、またはリブートコマンドではインプラントは削除されません。研究者らはまた、FIRESTARTERと、RayInitiatorとして知られる以前のブートキットとの類似点にも注目しました。

LINAフックによる深層システム操作

調査の結果、FIRESTARTERはCisco ASAのネットワーク処理とセキュリティ操作を担うコアエンジンであるLINAにフックを仕込もうとしていることが判明した。この操作により、攻撃者は通常の機能を傍受し、いわゆる「マジックパケット」を含む特別に細工されたWebVPN認証要求を通じて配信される任意のシェルコードを実行できるようになる。

この仕組みにより、脆弱性が修正された後でも悪意のある活動が継続することが可能になる。

LINE VIPERツールキットが攻撃者の能力を拡張

同事件発生時、攻撃者はLINE VIPERと呼ばれるポストエクスプロイトフレームワークを展開し、侵害された環境に対する制御を大幅に拡大した。このツールキットは、以下の動作を実行していたことが確認されている。

  • CLIコマンドの実行
  • ネットワークトラフィックのキャプチャ
  • 攻撃者が制御するデバイスでVPN認証、認可、およびアカウンティング(AAA)を回避する
  • syslogアラートの抑制
  • ハーベスティング管理者CLIアクティビティ
  • 強制的に遅延システム再起動を行う

LINE VIPERによって付与された特権の拡大が、2025年9月25日より前にFIRESTARTERを展開する道を開いたと報じられている。攻撃者はつい先月まで、このデバイスに再びアクセスすることができた。

より広範なスパイ活動との関連性

UAT4356(別名Storm-1849)という名称で攻撃活動を追跡している研究者たちは、この活動を過去の攻撃キャンペーンと関連付けた。2024年5月に行われた以前の評価では、中国との関連性が示唆されていた。

このクラスターは以前、ArcaneDoorというキャンペーンに関連付けられていました。ArcaneDoorは、Ciscoの2つのゼロデイ脆弱性を悪用して、偵察やネットワークトラフィックの傍受に使用されるカスタムマルウェアを展開するキャンペーンでした。

影響を受けた組織に対する重要な是正措置

セキュリティ専門家は、Cisco Secure ASAまたはFirepower Threat Defense(FTD)プラットフォームに関わる侵害が確認された場合、完全な信頼性喪失として扱うことを強く推奨します。既存のデバイス構成は信頼できないものとみなすべきです。

FIRESTARTERを完全に駆除するには、影響を受けたデバイスを再イメージングし、Ciscoの修正済みソフトウェアリリースにアップグレードする必要があります。再イメージングが完了するまでは、ソフトウェアベースの再起動コマンドでは永続的なマルウェアを削除できないため、アプライアンスの電源を物理的に切断して再接続するコールドスタートをお勧めします。

トレンド

SnappyClientマルウェア

マルウェア, リモート管理ツール
SnappyClientは、C++で記述された高度なマルウェアであり、HijackLoaderと呼ばれるローダーを介して配布されます。リモートアクセス型トロイの木馬(RAT)として機能し、サイバー犯罪者が侵害されたシステムを乗っ取り、機密データを抜き取ることを可能にします。デバイスに侵入すると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、指示を受信して悪意のある操作を実行しま...

偽のSpotifyリワードサイト

不正なウェブサイト
偽の「Spotifyリワードプログラム」ウェブサイトが、オンライン広告、ソーシャルメディアへの投稿、そして悪質なポップアップリダイレクトを通じて急速に拡散しています。これらのページは、簡単な手順を完了するだけで、魅力的な特典、無料サブスクリプション、プレミアムアップグレード、または高額ギフトカードがもらえると謳っています。一見すると、これらのサイトは洗練されていて信頼できるように見え、多くの...

PayPal PDFメール詐欺

不正なウェブサイト, フィッシング
サイバー犯罪者は手口を巧妙化させ続けており、フィッシング詐欺の検出はますます困難になっています。特に悪質な脅威の一つが、有名な金融サービスへの信頼を悪用したPayPal PDFメール詐欺です。ユーザーは、特に添付ファイルや緊急の依頼を含む予期せぬメールには注意を払う必要があります。これらの詐欺メールは、どれほど巧妙に見えても、いかなる正当な企業、組織、団体とも関係がないことを強調しておくこと...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
32,871
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
28,234
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Fuq.com

不正なスパイウェア対策プログラム, Mac マルウェア
21,209
Fuq.com は、ポルノ コンテンツを含む Web サイトを宣伝するアドウェア タイプのプログラムです。この迷惑プログラム (PUP) の広告キャンペーンは非常に攻撃的です。感染したデバイスに関連する広告、バナー、またはビデオを表示することで、被害者に宣伝されたページの不審なアダルト コンテンツの閲覧を強制します。 Fuq.com は Mac デバイスにも影響を及ぼし、プッシュするコンテン...
読み込んでいます...