ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม ประตูหลัง FIRESTARTER Backdoor

FIRESTARTER Backdoor

โดย Mezo ใน ประตูหลัง, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์เปิดเผยว่า หน่วยงานพลเรือนของรัฐบาลกลางแห่งหนึ่งที่ไม่เปิดเผยชื่อ ถูกโจมตีเมื่อเดือนกันยายน ปี 2025 โดยเกี่ยวข้องกับอุปกรณ์ Cisco Firepower ที่ใช้ซอฟต์แวร์ Adaptive Security Appliance (ASA) ผู้ตรวจสอบพบมัลแวร์สายพันธุ์ใหม่ที่ไม่เคยมีการบันทึกมาก่อนชื่อ FIRESTARTER ซึ่งออกแบบมาเพื่อเข้าถึงระบบจากระยะไกลอย่างลับๆ และควบคุมระบบที่ได้รับผลกระทบในระยะยาว

เชื่อกันว่าการบุกรุกครั้งนี้เป็นส่วนหนึ่งของแคมเปญที่กว้างขวางกว่า ซึ่งดำเนินการโดยกลุ่มภัยคุกคามขั้นสูง (APT) ที่มุ่งเป้าไปที่เฟิร์มแวร์ของ Cisco ASA ผ่านการใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีอยู่แล้ว ซึ่งต่อมาได้รับการแก้ไขแล้ว

การบุกรุกครั้งแรกผ่านช่องโหว่ที่มีความเสี่ยงสูงของซิสโก้

มีรายงานว่ากลุ่มแฮกเกอร์ใช้ช่องโหว่ด้านความปลอดภัยร้ายแรงสองจุดของ Cisco เพื่อเข้าถึงอุปกรณ์ที่เสี่ยงต่อการถูกโจมตี:

  • CVE-2025-20333 (CVSS 9.9): การตรวจสอบความถูกต้องของข้อมูลขาเข้าที่ไม่เหมาะสม ทำให้ผู้โจมตีระยะไกลที่ได้รับการรับรองสิทธิ์และมีข้อมูลประจำตัว VPN ที่ถูกต้อง สามารถเรียกใช้โค้ดตามอำเภอใจในฐานะผู้ใช้ root ผ่านคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ
  • CVE-2025-20362 (CVSS 6.5): การตรวจสอบความถูกต้องของข้อมูลขาเข้าที่ไม่เหมาะสม ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับอนุญาตสามารถเข้าถึง URL ปลายทางที่ถูกจำกัดได้โดยใช้คำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ

แม้ว่าจะมีแพทช์แก้ไขแล้ว แต่ระบบที่ถูกโจมตีไปก่อนที่จะมีการแก้ไขอาจยังคงได้รับผลกระทบอยู่

FIRESTARTER ช่วยให้สามารถเข้าถึงระบบได้อย่างต่อเนื่องหลังการอัปเดตแพทช์

FIRESTARTER โดดเด่นในด้านความสามารถในการอยู่รอดได้แม้จะมีการอัปเกรดเฟิร์มแวร์และการรีบูตตามปกติ มัลแวร์จะฝังตัวเข้าไปในกระบวนการเริ่มต้นระบบโดยการแก้ไขลำดับการเชื่อมต่อของอุปกรณ์ ทำให้สามารถเปิดใช้งานใหม่ได้โดยอัตโนมัติทุกครั้งที่อุปกรณ์รีบูตตามปกติ

การปิดและเปิดเครื่องใหม่แบบทันทีเท่านั้นที่จะสามารถหยุดการทำงานของโปรแกรมฝังตัวได้ชั่วคราว คำสั่งปิดเครื่อง รีโหลด หรือรีบูตตามปกติไม่สามารถลบโปรแกรมฝังตัวนี้ได้ นักวิจัยยังสังเกตเห็นความคล้ายคลึงกันระหว่าง FIRESTARTER กับโปรแกรมบูตคิทรุ่นก่อนหน้าที่รู้จักกันในชื่อ RayInitiator ด้วย

การควบคุมระบบอย่างลึกซึ้งผ่านการเชื่อมต่อแบบ LINA

ผู้ตรวจสอบพบว่า FIRESTARTER พยายามแทรกซึมเข้าไปใน LINA ซึ่งเป็นกลไกหลักที่รับผิดชอบการประมวลผลเครือข่ายและการรักษาความปลอดภัยของ Cisco ASA การแทรกแซงนี้ทำให้ผู้โจมตีสามารถดักจับการทำงานปกติและเรียกใช้โค้ดที่เป็นอันตรายได้โดยพลการผ่านคำขอการตรวจสอบสิทธิ์ WebVPN ที่สร้างขึ้นเป็นพิเศษซึ่งมีสิ่งที่เรียกว่า 'แพ็กเก็ตวิเศษ' อยู่ภายใน

กลไกนี้ทำให้การกระทำที่เป็นอันตรายยังคงดำเนินต่อไปได้แม้หลังจากที่ได้แก้ไขช่องโหว่แล้ว

ชุดเครื่องมือ LINE VIPER ขยายขีดความสามารถของผู้โจมตี

ในเหตุการณ์เดียวกันนั้น ผู้ปฏิบัติการได้ใช้เฟรมเวิร์กหลังการเจาะระบบที่เรียกว่า LINE VIPER ซึ่งช่วยขยายการควบคุมเหนือสภาพแวดล้อมที่ถูกบุกรุกได้อย่างมาก จากการสังเกตพบว่าชุดเครื่องมือดังกล่าวได้ดำเนินการดังต่อไปนี้:

  • การเรียกใช้คำสั่ง CLI
  • การดักจับปริมาณการรับส่งข้อมูลเครือข่าย
  • การข้ามขั้นตอนการตรวจสอบสิทธิ์ การอนุญาต และการบันทึกข้อมูล (AAA) ของ VPN สำหรับอุปกรณ์ที่ถูกควบคุมโดยผู้โจมตี
  • การระงับการแจ้งเตือนซิสล็อก
  • กิจกรรม CLI ของผู้ดูแลระบบการเก็บเกี่ยว
  • บังคับให้ระบบรีบูตล่าช้า

รายงานระบุว่า สิทธิ์การเข้าถึงระดับสูงที่ได้รับจาก LINE VIPER ได้ปูทางให้สามารถติดตั้ง FIRESTARTER ได้ก่อนวันที่ 25 กันยายน 2025 โดยผู้โจมตีสามารถกลับเข้าใช้งานอุปกรณ์ได้อีกครั้งเมื่อเดือนที่ผ่านมา

ความเชื่อมโยงกับปฏิบัติการจารกรรมในวงกว้าง

นักวิจัยที่ติดตามการแสวงหาประโยชน์ภายใต้รหัส UAT4356 หรือที่รู้จักกันในชื่อ Storm-1849 ได้เชื่อมโยงกิจกรรมดังกล่าวกับปฏิบัติการก่อนหน้านี้ การประเมินก่อนหน้านี้จากเดือนพฤษภาคม 2024 ชี้ให้เห็นถึงความเชื่อมโยงที่เป็นไปได้กับประเทศจีน

ก่อนหน้านี้ กลุ่มมัลแวร์นี้เคยมีความเกี่ยวข้องกับ ArcaneDoor ซึ่งเป็นแคมเปญที่ใช้ประโยชน์จากช่องโหว่ zero-day สองช่องของ Cisco เพื่อติดตั้งมัลแวร์แบบกำหนดเองที่ใช้สำหรับการสอดแนมและการดักฟังการรับส่งข้อมูลเครือข่าย

มาตรการแก้ไขที่สำคัญสำหรับองค์กรที่ได้รับผลกระทบ

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำอย่างยิ่งว่า หากพบการถูกโจมตีที่ได้รับการยืนยันแล้วบนแพลตฟอร์ม Cisco Secure ASA หรือ Firepower Threat Defense (FTD) ควรพิจารณาว่าเป็นความล้มเหลวของความไว้วางใจโดยสมบูรณ์ และควรพิจารณาว่าการกำหนดค่าอุปกรณ์ที่มีอยู่ไม่น่าเชื่อถืออีกต่อไป

เพื่อกำจัด FIRESTARTER อย่างสมบูรณ์ องค์กรควรทำการติดตั้งระบบปฏิบัติการใหม่ให้กับอุปกรณ์ที่ได้รับผลกระทบและอัปเกรดเป็นซอฟต์แวร์เวอร์ชันแก้ไขของ Cisco ในระหว่างที่รอการติดตั้งระบบปฏิบัติการใหม่เสร็จสมบูรณ์ ขอแนะนำให้ทำการรีสตาร์ทแบบเย็นโดยการถอดปลั๊กและเสียบปลั๊กไฟใหม่ เนื่องจากคำสั่งรีบูตผ่านซอฟต์แวร์จะไม่สามารถลบมัลแวร์ที่ฝังตัวอยู่ได้

มาแรง

มัลแวร์ SnappyClient

มัลแวร์, เครื่องมือการบริหารจัดการระยะไกล
SnappyClient เป็นมัลแวร์ขั้นสูงที่เขียนด้วยภาษา C++ และเผยแพร่ผ่านตัวโหลดที่เรียกว่า HijackLoader มันทำงานเป็นโทรจันสำหรับการเข้าถึงระยะไกล (RAT)...

เว็บไซต์ Spotify Rewards ปลอม

เว็บไซต์อันธพาล
เว็บไซต์ปลอมที่อ้างว่าเป็น "โปรแกรมสะสมแต้ม Spotify" กำลังแพร่กระจายอย่างรวดเร็วผ่านโฆษณาออนไลน์ โพสต์บนโซเชียลมีเดีย และการเปลี่ยนเส้นทางป๊อปอัพที่ก้าวร้าว...

การหลอกลวงทางอีเมลเกี่ยวกับไฟล์ PDF ของ PayPal

เว็บไซต์อันธพาล, ฟิชชิ่ง
อาชญากรไซเบอร์ยังคงพัฒนาวิธีการของตนอย่างต่อเนื่อง ทำให้การตรวจจับแคมเปญฟิชชิ่งทำได้ยากขึ้นเรื่อยๆ ภัยคุกคามที่หลอกลวงเป็นพิเศษอย่างหนึ่งคือ การหลอกลวงทางอีเมล PayPal ที่ใช้ไฟล์ PDF เป็นอาวุธ...

เข้าชมมากที่สุด

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,209
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...

เอพอนเนอร์ดอทคอม

ปัญหา
20,594
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...
กำลังโหลด...