Palo Alto Networks 的 Unit 42 威脅情報小組追蹤發現,中國駭客組織 Storm-1849(亦稱 UAT4356)持續攻擊思科自適應安全設備(Adaptive Security Appliances,ASA)。這類設備整合了防火牆、入侵防禦、垃圾郵件過濾與防毒等多項安全功能,深受政府機關與大型企業青睞。
延伸閱讀:Cisco ASA防火牆遭零日攻擊:駭客部署 RayInitiator 與LINE VIPER惡意軟體
調查報告指出,2025 年 10 月期間,該組織鎖定美國金融機構、國防承包商與軍事單位的思科 ASA 設備。值得注意的是,10 月 1 日至 8 日期間攻擊活動出現空窗期,而研究人員推測這與中國十一黃金週假期有關。
Unit 42 國家安全計畫主任 Pete Renals 表示,Storm-1849 在整個 10 月持續鎖定易受攻擊的政府邊界設備。研究團隊觀察到 12 個美國聯邦機構的 IP 位址遭掃描與攻擊,另有 11 個州政府與地方政府的 IP 位址也成為目標。
受影響範圍不僅限於美國。印度、奈及利亞、日本、挪威、法國、英國、荷蘭、西班牙、澳洲、波蘭、奧地利、阿拉伯聯合大公國、亞塞拜然與不丹等國的聯邦政府 IP 位址都在攻擊名單中。
美國 CISA 發布緊急指令要求修補
一個月前,美國網路安全暨基礎設施安全局(CISA)發布緊急指令,要求所有聯邦民間機關修補
CVE-2025-30333 與
CVE-2025-20362 兩個影響思科 ASA 設備的漏洞。CISA 指出,駭客已懂得串連利用這兩個漏洞發動攻擊。這些技術成熟的駭客不僅能入侵 ASA 設備,還能操控設備,使存取權限在系統重新啟動與升級後仍持續存在。
專家表示,儘管上個月的資安通報與緊急指令都強調修補的迫切性,攻擊者仍持續進行攻擊。Salt Typhoon 與 Volt Typhoon 等組織依然活躍,而 Storm-1849 這類新興組織正快速擴張規模,在全球舞台上日益突出。
CISA 並未正式將漏洞利用歸因於特定國家,但將其與去年發現的 ArcaneDoor 攻擊活動連結,認為是同一批國家級駭客所為。資安研究公司 Censys 調查 2024 年 ArcaneDoor 活動中攻擊者控制的 IP 位址,發現資料顯示可能涉及中國行為者,包括與多個中國主要網路的連結,以及中國開發的反審查軟體。
澳洲警告 BadCandy 惡意程式持續感染
澳洲訊號局(ASD)發布公告,警告該國未修補的思科 IOS XE 設備持續遭受攻擊。這些攻擊利用
CVE-2023-20198 漏洞在路由器上植入 BadCandy 網頁後門。
CVE-2023-20198 是最高嚴重等級的漏洞(CVSS 評分 10.0),允許遠端未經驗證的威脅行為者透過網頁使用者介面建立本機管理員帳號,進而接管設備。思科在 2023 年 10 月修補了這個漏洞,當時該漏洞已遭到積極利用。兩週後,公開的漏洞利用程式助長了大規模攻擊,駭客在暴露於網路的設備上植入後門。
澳洲當局警告,以 Lua 語言撰寫的 BadCandy 網頁後門在 2024 年與 2025 年持續出現不同變種,被用於攻擊活動,顯示許多思科設備仍未修補。
BadCandy 一旦安裝完成,便允許遠端攻擊者以最高權限(root privileges)在受駭設備上執行指令。這個網頁後門會在設備重新啟動後被清除,但若設備未套用修補程式且網頁介面仍可存取,攻擊者就能輕易重新植入。
根據 ASD 公告,自 2025 年 7 月以來,澳洲有超過 400 台設備可能遭 BadCandy 入侵。截至 10 月底,仍有超過 150 台設備受到感染。儘管感染數量持續下降且受害單位已收到警示,該機關仍觀察到攻擊者重複利用漏洞攻擊相同端點。ASD 指出,攻擊者能偵測 BadCandy 何時被移除,並再次鎖定同一設備重新植入惡意程式。
ASD 指出,Salt Typhoon 等中國國家級駭客組織曾利用此漏洞攻擊美國與加拿大的大型電信服務供應商。該機關認為,儘管 BadCandy 理論上任何人都可使用,但近期攻擊高峰可歸因於「國家資助的網路行為者」。
防護建議與應對措施
面對持續的攻擊威脅,澳洲訊號局正向受害者發送通知,提供修補、強化裝置與執行事件應變的指示。對於無法確定擁有者的裝置,ASD 正請求網際網路服務供應商代為聯繫受害者。
資安專家建議管理者應採取以下防護措施:
- 立即套用思科發布的安全修補程式
- 檢查執行配置(running configuration)中權限等級 15 的帳號,移除非預期或未經核准的帳號
- 檢查含有隨機字串或「cisco_tac_admin」、「cisco_support」、「cisco_sys_manager」或「cisco」等名稱的帳號,若非合法帳號應予移除
- 檢查執行配置中的未知通道介面(tunnel interfaces)
- 若已啟用 TACACS+ AAA 指令會計記錄(command accounting logging),應檢視配置變更記錄
- 限制網頁使用者介面的公開暴露範圍
- 遵循思科發布的 IOS XE 裝置強化指南
重新啟動裝置雖能清除 BadCandy 惡意程式,但無法撤銷攻擊者已執行的其他操作。因此,系統營運者必須套用修補程式、限制網頁介面的公開暴露,並遵循思科發布的必要強化準則,才能防止未來的攻擊。
本文轉載自 BleepingComputer、TheRecord、TheHackerNews。