英国国家网络安全中心(NCSC)透露,威胁行为者利用了最近披露的影响思科防火墙的安全漏洞,将其作为零日攻击的一部分,投放了如RayInitiator和LINE VIPER等此前未被记录的恶意软件家族。
该机构表示:“RayInitiator和LINE VIPER恶意软件在复杂性和规避检测的能力方面,都比上一次攻击活动中使用的恶意软件有了显著升级。”
思科公司周四透露,其于2025年5月开始调查针对多个政府机构的攻击,这些攻击与一场由国家支持的行动有关。该行动针对自适应安全设备(ASA)5500-X系列设备,目的是植入恶意软件、执行命令,并可能从受影响的设备中窃取数据。
该公司补充称,对从运行启用了VPN网络服务的思科安全防火墙ASA软件的受感染设备中提取的固件进行深入分析后,最终发现了该产品软件中存在一个内存损坏漏洞。
该公司表示:“经观察,攻击者利用了多个零日漏洞,并采用了先进的规避技术,例如禁用日志记录、拦截命令行界面命令以及故意让设备崩溃以阻止诊断分析。”
该活动涉及利用CVE-2025-20362(CVSS评分:6.5)和CVE-2025-20333(CVSS评分:9.9)来绕过身份验证,并在易受攻击的设备上执行恶意代码。据评估,该活动与一个名为ArcaneDoor的威胁集群有关联,该集群被认为与一个疑似与中国有关联的黑客组织UAT4356(又名Storm-1849)相关。
此外,在某些情况下,据称威胁行为者修改了ROMMON(即只读存储器监控器的缩写,其负责管理ASA设备的启动过程并执行诊断测试),以确保在重启和软件升级后仍能保持驻留。话虽如此,这些修改仅在缺乏安全启动和信任锚技术的思科ASA 5500-X系列平台上被检测到。
思科还表示,此次攻击成功入侵了运行思科ASA软件9.12或9.14版本、启用了VPN网络服务、且不支持安全启动和信任锚技术的ASA 5500-X系列型号设备。所有受影响的设备均已达到终止支持状态(EoS),或将于下周达到终止支持状态。
- 5512-X和5515-X——支持终止日期:2022年8月31日
- 5585-X – 支持终止日期:2023年5月31日
- 5525-X、5545-X和5555-X——支持终止日期:2025年9月30日
此外,该公司指出,其已修复了自适应安全设备(ASA)软件、安全防火墙威胁防御(FTD)软件、IOS软件、IOS XE软件和IOS XR软件的Web服务中存在的第三个严重漏洞(CVE-2025-20363,CVSS评分:8.5/9.0),该漏洞可能允许远程攻击者在受影响的设备上执行任意代码。
“攻击者可能通过以下方式利用此漏洞:在获取系统额外信息、绕过漏洞利用缓解措施或同时做到这两点后,向受影响设备上的目标Web服务发送特制的HTTP请求,”它表示。“成功利用此漏洞可能使攻击者以root权限执行任意代码,这可能导致受影响设备被完全攻陷。”
与CVE-2025-20362和CVE-2025-20333不同,目前没有证据表明该漏洞已在实际环境中被用于恶意攻击。思科表示,这一缺陷是由思科高级安全计划小组(ASIG)在处理一个思科TAC支持案例时发现的。
加拿大网络安全中心已敦促该国各组织尽快采取行动,通过更新至思科ASA和FTD产品的修复版本来应对这一威胁。
英国国家网络安全中心在9月25日发布的一份公告中透露,这些攻击利用了一个名为RayInitiator的多阶段启动工具包,向ASA设备部署了一个名为LINE VIPER的用户模式外壳代码加载器。
RayInitiator是一种持久性的GRand Unified Bootloader(GRUB)启动工具包,会被刷入受害者设备,且能够在重启和固件升级后存活。它负责将LINE VIPER加载到内存中,而LINE VIPER可以运行命令行界面(CLI)命令、执行数据包捕获、绕过攻击者设备的虚拟专用网络(VPN)认证、授权和计费(AAA)、抑制系统日志消息、收集用户的命令行界面(CLI)命令,并强制延迟重启。
该启动工具包通过在名为“lina”的合法ASA二进制文件中安装一个处理程序来执行LINE VIPER,从而实现这一目的。Lina是基于Linux的集成网络架构(Linux-based Integrated Network Architecture)的缩写,是集成了ASA核心防火墙功能的操作系统软件。
与Line Dancer相比,LINE VIPER被描述为“更全面”,它使用两种方法与命令和控制(C2)服务器进行通信:通过HTTPS的WebVPN客户端认证会话,或通过ICMP并借助原始TCP进行响应。它还被设计为对“lina”进行多项修改,以避免留下取证痕迹,并防止被检测到对复制和验证等CLI命令的修改。
英国国家网络安全中心(NCSC)表示:“通过持久性启动工具包部署LINE VIPER,再加上对防御规避技术的更多重视,与2024年公开记录的ArcaneDoor行动相比,表明该黑客组织的成熟度有所提高,操作安全性也得到了改善。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
