13/11/25
Обнаруженные атаки отличались высокой степенью изощрённости: злоумышленники применяли собственное вредоносное ПО и имели доступ к ряду неизвестных ранее уязвимостей, что указывает на наличие у группы значительных ресурсов и исследовательского потенциала. Этот случай подтверждает тенденцию смещения внимания атакующих на ключевую сетевую инфраструктуру, управляющую политиками доступа в корпоративных сетях, пишут в Securitylab.
Первые следы активности Amazon зафиксировал с помощью системы ловушек MadPot, когда были замечены попытки эксплуатации уязвимости Citrix Bleed Two (CVE-2025-5777) ещё до её публичного раскрытия. Это свидетельствовало о том, что злоумышленники пользовались уязвимостью как нулевым днём. Дальнейший анализ показал, что та же группа одновременно атаковала сервисы Cisco, используя неизвестный ранее сбой в механизме десериализации Cisco ISE.
Дефект, позднее получивший идентификатор CVE-2025-20337, позволял выполнять произвольный код без аутентификации и обеспечивал полный административный контроль над системой. По данным Amazon, эксплуатация шла задолго до присвоения уязвимости номера и выпуска обновлений, что характерно для хорошо подготовленных групп, отслеживающих процесс исправления ошибок и мгновенно использующих промежуток между обнаружением проблемы и выпуском полного набора обновлений.
После получения доступа злоумышленники устанавливали нестандартный веб-шелл, замаскированный под компонент Cisco ISE под названием IdentityAuditAction. Этот вредонос был создан специально для инфраструктуры Cisco и отличался продуманной скрытностью. Он полностью работал в оперативной памяти, не оставляя следов на диске, внедрялся в активные потоки Java через механизм рефлексии, регистрировался как прослушиватель HTTP-трафика на сервере Tomcat и использовал шифрование DES с нестандартным кодированием Base64. Доступ к интерфейсу требовал знания особых HTTP-заголовков, что позволяло ограничить круг тех, кто мог управлять бэкдором.
Код десериализации содержал цепочку операций с двойным шифрованием и подменой символов, что дополнительно осложняло анализ. Через DES-шифр с фиксированным ключом и модифицированное кодирование выполнялась расшифровка тела запроса, после чего вредонос динамически создавал класс и внедрял его в рабочие потоки Tomcat. Такой подход позволял незаметно перехватывать запросы и выполнять команды без сохранения файлов на диск, что фактически исключало возможность обнаружения стандартными средствами мониторинга.
По наблюдениям Amazon, злоумышленники атаковали системы, находившиеся в открытом доступе, и не ограничивали цели по отраслям. Их инструменты показывали глубокие знания архитектуры корпоративных Java-приложений и внутренней логики Cisco ISE, включая способы обхода встроенных механизмов безопасности. Способность использовать сразу несколько нулевых уязвимостей и быстро их комбинировать указывает на то, что группа обладает собственными возможностями по исследованию ошибок либо имеет доступ к непубличной информации о них.
