Группа кибербезопасности компании Amazon обнаружила деятельность «обладающей значительными ресурсами» хакерской группировки, которая использовала две ранее неизвестные уязвимости нулевого дня в продуктах Cisco и Citrix. Целью атак было проникновение в корпоративные сети и развертывание специально разработанного скрытного бэкдора, предназначенного для окружения Cisco. Информацию об этом сообщил Си Джей Мозес, директор по информационной безопасности Amazon Integrated Security, в отчете, предоставленном изданию The Hacker News.
Злоумышленники продемонстрировали высокий уровень технической подготовки, используя в своей кампании сразу несколько эксплойтов. Их действия были охарактеризованы как «неизбирательные», что указывает на широкий охват потенциальных целей. Группировка обладает либо передовыми навыками исследования уязвимостей, либо доступом к непубличной информации о них, а также глубокими знаниями в области корпоративных Java-приложений, внутренних механизмов сервера Tomcat и архитектуры Cisco ISE.
Первой была задействована уязвимость в продуктах Citrix NetScaler ADC и Citrix NetScaler Gateway, получившая идентификатор CVE-2025-5777. Проблема заключалась в недостаточной проверке входных данных, что позволяло злоумышленнику обходить механизм аутентификации. Компания Citrix выпустила исправление для этой уязвимости в июне 2025 года. Эта уязвимость служила начальной точкой входа в целевую инфраструктуру.
После успешного обхода аутентификации на устройствах Citrix злоумышленники атаковали внутренние системы управления идентификацией Cisco. Для этого использовалась критическая уязвимость удаленного выполнения кода (RCE) в Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC). Уязвимости присвоен идентификатор CVE-2025-20337 и максимальный балл по шкале CVSS — 10.0. Она позволяет удаленному неаутентифицированному злоумышленнику выполнять произвольный код с наивысшими правами в системе (root). Cisco устранила эту уязвимость в июле 2025 года.
Основным инструментом атаки стал специально созданный веб-шелл, замаскированный под легитимный компонент Cisco ISE под названием IdentityAuditAction. Этот бэкдор не является универсальным вредоносным ПО, а был разработан специально для работы в среде Cisco ISE. Его ключевая особенность — максимальная скрытность.
Для уклонения от обнаружения веб-шелл функционирует исключительно в оперативной памяти, не оставляя следов на диске. Он использует механизм Java reflection для внедрения в существующие запущенные потоки процессов. Кроме того, вредоносное ПО регистрируется в качестве слушателя на сервере Tomcat, что позволяет ему перехватывать и анализировать все входящие HTTP-запросы.
Коммуникация между бэкдором и командным центром злоумышленников защищена с помощью шифрования DES и нестандартной кодировки Base64. Такой подход существенно затрудняет обнаружение и анализ сетевой активности вредоносного ПО стандартными средствами мониторинга безопасности.
Данный инцидент подтверждает растущую тенденцию атак на критически важную инфраструктуру управления доступом и идентификацией. Системы, подобные Cisco ISE, являются «ключами от королевства», поскольку они контролируют политики безопасности всей сети.
Сетевые пограничные устройства, такие как Citrix NetScaler, остаются главной целью для первоначального проникновения в корпоративные сети. Успех атаки подчеркивает опасность уязвимостей, не требующих предварительной аутентификации. Они позволяют взломать даже правильно настроенные и обновленные системы, так как для их эксплуатации не требуются учетные данные.
Противодействие таким сложным угрозам требует комплексного подхода. Одного уровня защиты недостаточно, необходима эшелонированная оборона (defense-in-depth). Системы, основанные на сигнатурном анализе, могут оказаться бессильны против уникального вредоносного ПО, работающего в памяти. Ключевую роль играют средства поведенческого анализа, способные выявлять аномальную активность.
Организациям критически важно ограничить доступ к привилегированным порталам управления сетевым оборудованием. Это можно реализовать с помощью межсетевых экранов и многоуровневых моделей контроля доступа, что значительно снизит поверхность атаки и усложнит злоумышленникам задачу проникновения в сеть.
Изображение носит иллюстративный характер
Злоумышленники продемонстрировали высокий уровень технической подготовки, используя в своей кампании сразу несколько эксплойтов. Их действия были охарактеризованы как «неизбирательные», что указывает на широкий охват потенциальных целей. Группировка обладает либо передовыми навыками исследования уязвимостей, либо доступом к непубличной информации о них, а также глубокими знаниями в области корпоративных Java-приложений, внутренних механизмов сервера Tomcat и архитектуры Cisco ISE.
Первой была задействована уязвимость в продуктах Citrix NetScaler ADC и Citrix NetScaler Gateway, получившая идентификатор CVE-2025-5777. Проблема заключалась в недостаточной проверке входных данных, что позволяло злоумышленнику обходить механизм аутентификации. Компания Citrix выпустила исправление для этой уязвимости в июне 2025 года. Эта уязвимость служила начальной точкой входа в целевую инфраструктуру.
После успешного обхода аутентификации на устройствах Citrix злоумышленники атаковали внутренние системы управления идентификацией Cisco. Для этого использовалась критическая уязвимость удаленного выполнения кода (RCE) в Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC). Уязвимости присвоен идентификатор CVE-2025-20337 и максимальный балл по шкале CVSS — 10.0. Она позволяет удаленному неаутентифицированному злоумышленнику выполнять произвольный код с наивысшими правами в системе (root). Cisco устранила эту уязвимость в июле 2025 года.
Основным инструментом атаки стал специально созданный веб-шелл, замаскированный под легитимный компонент Cisco ISE под названием IdentityAuditAction. Этот бэкдор не является универсальным вредоносным ПО, а был разработан специально для работы в среде Cisco ISE. Его ключевая особенность — максимальная скрытность.
Для уклонения от обнаружения веб-шелл функционирует исключительно в оперативной памяти, не оставляя следов на диске. Он использует механизм Java reflection для внедрения в существующие запущенные потоки процессов. Кроме того, вредоносное ПО регистрируется в качестве слушателя на сервере Tomcat, что позволяет ему перехватывать и анализировать все входящие HTTP-запросы.
Коммуникация между бэкдором и командным центром злоумышленников защищена с помощью шифрования DES и нестандартной кодировки Base64. Такой подход существенно затрудняет обнаружение и анализ сетевой активности вредоносного ПО стандартными средствами мониторинга безопасности.
Данный инцидент подтверждает растущую тенденцию атак на критически важную инфраструктуру управления доступом и идентификацией. Системы, подобные Cisco ISE, являются «ключами от королевства», поскольку они контролируют политики безопасности всей сети.
Сетевые пограничные устройства, такие как Citrix NetScaler, остаются главной целью для первоначального проникновения в корпоративные сети. Успех атаки подчеркивает опасность уязвимостей, не требующих предварительной аутентификации. Они позволяют взломать даже правильно настроенные и обновленные системы, так как для их эксплуатации не требуются учетные данные.
Противодействие таким сложным угрозам требует комплексного подхода. Одного уровня защиты недостаточно, необходима эшелонированная оборона (defense-in-depth). Системы, основанные на сигнатурном анализе, могут оказаться бессильны против уникального вредоносного ПО, работающего в памяти. Ключевую роль играют средства поведенческого анализа, способные выявлять аномальную активность.
Организациям критически важно ограничить доступ к привилегированным порталам управления сетевым оборудованием. Это можно реализовать с помощью межсетевых экранов и многоуровневых моделей контроля доступа, что значительно снизит поверхность атаки и усложнит злоумышленникам задачу проникновения в сеть.
