シスコのゼロデイ悪用するスパイキャンペーンArcaneDoor、中国アクターが関与している可能性(CVE-2024-20353、CVE-2024-20359)
The Hacker News – May 06, 2024
最近明らかになったサイバースパイキャンペーン「ArcaneDoor」は中国関連のアクターによるものである可能性があると、アタックサーフェスマネジメント会社Censysが指摘。2023年7月頃に始まったとされるこのキャンペーンは先月Cisco Talosによって報告されたもので、シスコ製品のゼロデイ脆弱性CVE-2024-20353およびCVE-2024-20359の悪用によってバックドア「Line Dancer」および「Line Runner」が展開されていることなどが明らかになっていた。
ArcaneDoorキャンペーンについて、詳しくはこちらの記事で:
Cisco Talosは「ArcaneDoor」に関与するアクターを「UAT4356(Storm-1849)」の名称で追跡し、熟練の国家支援型アクターであろうと評価。ただ、国名には言及していなかった。しかし今回、CensysはIPアドレスのさらなる検証を行った上で、このアクターが中国を拠点としている可能性について指摘。この評価の背景には、以下のような事実があるという。
- 同アクターのインフラと結びついていることが特定されたSSL証明書を持つ5つのオンラインホストのうち、4つは中国のテンセントおよびChinaNetと関連している。
- UAT4356の管理するIPアドレスのうちの一つにパリを拠点とするホスト(212.193.2[.]48)があり、サブジェクトおよびイシュラーは「Gozargah」となっている。このGozargahとは、検閲対策ツール「Marzban」をホストするGitHubアカウントを指している可能性が高いが、Marzbanには、中国語で書かれたWebサイトを持つ別のオープンソースプロジェクト「Xray」が活用されている。
なお、このキャンペーンで利用される初期アクセスベクターは未だ不明であり、Censysは今後も状況を注視し続ける意欲を示している。