https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a?utm_source=chatgpt.com
中国の国家支援による脅威アクターがルーターを狙って諜報活動しているみたい。
TTPs 概要
• 脆弱性の悪用
Ciscoやその他のルーターの既知脆弱性(例:CVE‑2023‑20198 など)を利用し、標準外ポートでのSSHやHTTP/HTTPS管理アクセスを確立 。
• ログ取得・転送のためのPCAP収集やトンネリング
TACACS+ や RADIUS 認証情報を取得するために、ルーター上でパケットキャプチャ(PCAP)を実施し、FTP/TFTP、GRE/IPsec 経由で外部送信 。
• Guest Shell やコンテナ機能の悪用
Ciscoの Guest Shell(LXC環境)に侵入し、永続化や周辺環境への回避行動を行う 。
• SNMPを使った横展開
SNMPwalk や SNMP SET で他のネットワーク機器を列挙・操作し、設定変更や認証設定の改ざんを行う 。
• マルチホッププロキシやツールの利用
STOWAWAY や Golangベースのカスタム SFTPクライアント(cmd1, cmd3 など)を使用した多段中継、データ転送、ステージング 。
• ログの隠蔽や痕跡消去
ログの削除、Guest Shell の disable/destroy 指令で検知の難しい侵入の跡を消去
