シスコのゼロデイ悪用するスパイキャンペーンArcaneDoor、中国アクターが関与の可能性(CVE-2024-20353、CVE-2024-20359) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > シスコのゼロデイ悪用するスパイキャンペーンArcaneDoor、中国アクターが関与の可能性(CVE-2024-20353、CVE-2024-20359)

Threat Report

ArcaneDoor

Cisco

Silobreaker-CyberAlert

シスコのゼロデイ悪用するスパイキャンペーンArcaneDoor、中国アクターが関与の可能性(CVE-2024-20353、CVE-2024-20359)

佐々山 Tacos

佐々山 Tacos

2024.05.07

シスコのゼロデイ悪用するスパイキャンペーンArcaneDoor、中国アクターが関与している可能性(CVE-2024-20353、CVE-2024-20359)

The Hacker News – May 06, 2024

最近明らかになったサイバースパイキャンペーン「ArcaneDoor」は中国関連のアクターによるものである可能性があると、アタックサーフェスマネジメント会社Censysが指摘。2023年7月頃に始まったとされるこのキャンペーンは先月Cisco Talosによって報告されたもので、シスコ製品のゼロデイ脆弱性CVE-2024-20353およびCVE-2024-20359の悪用によってバックドア「Line Dancer」および「Line Runner」が展開されていることなどが明らかになっていた。

ArcaneDoorキャンペーンについて、詳しくはこちらの記事で:

関連記事

Threat Report

Threat Report

ArcaneDoor

Cisco

Silobreaker-CyberAlert

シスコのゼロデイ2件、政府狙うスパイキャンペーン「ArcaneDoor」で悪用される:CVE-2024-20353、CVE-2024-20359

佐々山 Tacos

佐々山 Tacos

2024.05.07

Cisco Talosは「ArcaneDoor」に関与するアクターを「UAT4356(Storm-1849)」の名称で追跡し、熟練の国家支援型アクターであろうと評価。ただ、国名には言及していなかった。しかし今回、CensysはIPアドレスのさらなる検証を行った上で、このアクターが中国を拠点としている可能性について指摘。この評価の背景には、以下のような事実があるという。

 

  • 同アクターのインフラと結びついていることが特定されたSSL証明書を持つ5つのオンラインホストのうち、4つは中国のテンセントおよびChinaNetと関連している。
  • UAT4356の管理するIPアドレスのうちの一つにパリを拠点とするホスト(212.193.2[.]48)があり、サブジェクトおよびイシュラーは「Gozargah」となっている。このGozargahとは、検閲対策ツール「Marzban」をホストするGitHubアカウントを指している可能性が高いが、Marzbanには、中国語で書かれたWebサイトを持つ別のオープンソースプロジェクト「Xray」が活用されている。

 

なお、このキャンペーンで利用される初期アクセスベクターは未だ不明であり、Censysは今後も状況を注視し続ける意欲を示している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ