استغل أحد ممثلي التهديدات التي ترعاها الدولة اثنتين من نقاط ضعف Cisco في أجهزة جدار الحماية لاستهداف محيط الشبكات الحكومية من خلال بابين خلفيين مصممين خصيصًا، في حملة تجسس إلكتروني عالمية.
استهدفت الحملة التي أطلق عليها الممثل غير المعروف سابقًا اسم "ArcaneDoor" - والتي يتتبعها باحثون من Cisco Talos باسم UAT4356 - أجهزة جدار الحماية Cisco Adaptive Security Appliance (ASA) للعديد من عملاء Cisco منذ ديسمبر 2023 على الأقل، حسبما ذكر باحثو Cisco Talos كشف في بلوق وظيفة.
في حين أن ناقل الوصول الأولي للمنفذ لا يزال مجهولاً، بمجرد حدوثه، استخدم UAT4356 "سلسلة هجوم معقدة" تتضمن استغلال اثنتين من نقاط الضعف - وهو خلل في رفض الخدمة تم تتبعه على أنه CVE-2024-20353 وتتبع عيب التنفيذ المحلي المستمر باسم CVE-2024-20359 التي منذ ذلك الحين تم ترقيعها - لزرع البرامج الضارة وتنفيذ الأوامر عبر مجموعة صغيرة من عملاء Cisco. قامت شركة Cisco Talos أيضًا بوضع علامة على ثغرة ثالثة في ASA، CVE-2024-20358، لم يتم استخدامه في حملة ArcaneDoor.
ووجد الباحثون أيضًا أدلة على أن الفاعل لديه اهتمام بأجهزة من Microsoft والبائعين الآخرين وربما يهاجمها، مما يجعل من الضروري أن تتأكد المؤسسات من أن جميع الأجهزة المحيطة "مصححة بشكل صحيح، وتسجيل الدخول إلى موقع مركزي وآمن، وتكوينها بحيث تكون قوية". "المصادقة متعددة العوامل (MFA)"، كتب Cisco Talos في المنشور.
برامج ضارة مستترة مخصصة للحكومات العالمية
جاءت العلامة الأولى للنشاط المشبوه في الحملة في أوائل عام 2024 عندما تواصل أحد العملاء مع فريق الاستجابة لحوادث أمن المنتجات (PSIRT) التابع لشركة Cisco وCisco Talos بشأن المخاوف الأمنية المتعلقة بأجهزة جدار الحماية ASA الخاصة بها.
وكشف تحقيق لاحق أجرته شركة Cisco وشركاؤها في مجال الاستخبارات، واستمر لعدة أشهر، عن بنية تحتية تسيطر عليها الجهات الفاعلة في مجال التهديدات يعود تاريخها إلى أوائل نوفمبر 2023. ووقعت معظم الهجمات - التي استهدفت جميعها الشبكات الحكومية على مستوى العالم - في الفترة ما بين ديسمبر وأوائل يناير. هناك أيضًا أدلة على أن الفاعل - الذي تتعقبه Microsoft الآن أيضًا باسم STORM-1849 - كان يختبر ويطور قدرته في وقت مبكر من شهر يوليو الماضي.
الحمولات الأساسية للحملة عبارة عن بابين خلفيين مخصصين - "Line Dancer" و"Line Runner" - تم استخدامهما معًا بواسطة UAT4356 لإجراء أنشطة ضارة على الشبكة، مثل التكوين والتعديل؛ استطلاع؛ التقاط/تسلل حركة مرور الشبكة؛ وربما الحركة الجانبية.
Line Dancer هو مترجم كود القشرة المقيم في الذاكرة والذي يمكّن الخصوم من تحميل وتنفيذ حمولات عشوائية من كود القشرة. في الحملة، لاحظت Cisco Talos استخدام البرامج الضارة لتنفيذ أوامر مختلفة على جهاز ASA، بما في ذلك: تعطيل سجل النظام؛ تشغيل وتصفية تكوين عرض الأوامر؛ إنشاء وإخراج حزم التقاطها؛ وتنفيذ الأوامر الموجودة في كود القشرة، من بين أنشطة أخرى.
وفي الوقت نفسه، فإن Line Runner عبارة عن آلية استمرارية يتم نشرها على جهاز ASA باستخدام وظائف مرتبطة بقدرة قديمة تسمح بالتحميل المسبق لعملاء VPN والمكونات الإضافية على الجهاز أثناء التشغيل والتي يمكن استغلالها كـ CVE-2024-20359، وفقًا لـ Cisco تالوس. وفي حالة واحدة على الأقل، قام جهة التهديد أيضًا بإساءة استخدام CVE-2024-20353 لتسهيل هذه العملية.
وقال الباحثون: "تمكن المهاجمون من الاستفادة من هذه الثغرة الأمنية للتسبب في إعادة تشغيل جهاز ASA المستهدف، مما أدى إلى فك ضغط وتثبيت" Line Runner.
حماية المحيط من المهاجمين السيبرانيين
تعتبر الأجهزة المحيطة، والتي تقع على الحافة بين الشبكة الداخلية للمؤسسة والإنترنت، "نقطة التسلل المثالية للحملات التي تركز على التجسس"، حيث توفر الجهات التهديد طريقة للحصول على موطئ قدم "للتحول مباشرة إلى مؤسسة، وإعادة توجيه حركة المرور أو تعديلها، ومراقبة اتصالات الشبكة في الشبكة الآمنة، وفقًا لـ Cisco Talos.
أيام صفر على هذه الأجهزة يوجد سطح هجوم جذاب بشكل خاص على هذه الأجهزة، كما يشير أندرو كوستيس، رئيس قسم فريق أبحاث الخصوم في شركة اختبار MITRE ATT&CK هجوم
ويقول: "لقد رأينا مرارًا وتكرارًا استغلال الثغرات الأمنية الحرجة صفر وn-day مع جميع الأجهزة والبرامج الأمنية السائدة"، مشيرًا إلى الهجمات السابقة على الأخطاء في الأجهزة من إيفانتي, بالو ألتو شبكات، وغيرها.
يسلط التهديد الذي تتعرض له هذه الأجهزة الضوء على حاجة المؤسسات إلى تصحيحها "بشكل روتيني وفوري" باستخدام إصدارات وتكوينات الأجهزة والبرامج الحديثة، بالإضافة إلى الحفاظ على مراقبة أمنية وثيقة لها، وفقًا لشركة Cisco Talos.
يقول كوستيس إنه يجب على المؤسسات أيضًا التركيز على عمليات TTP بعد الاختراق للجهات التهديدية واختبار سلوكيات الخصم المعروفة كجزء من "نهج متعدد الطبقات" لعمليات الشبكة الدفاعية.
الكشف عن نشاط الهجوم السيبراني ArcaneDoor
تتضمن مؤشرات الاختراق (IoCs) التي يمكن للعملاء البحث عنها إذا اشتبهوا في احتمال استهدافهم بواسطة ArcaneDoor، أي تدفقات من/إلى أجهزة ASA إلى أي من عناوين IP الموجودة في قائمة IOC المدرجة في المدونة.
يمكن للمنظمات أيضًا إصدار الأمر "إظهار منطقة الذاكرة | تشمل لينا" لتحديد اللجنة الأولمبية الدولية الأخرى. كتب Cisco Talos: "إذا كان الإخراج يشير إلى أكثر من منطقة ذاكرة قابلة للتنفيذ... خاصة إذا كان أحد أقسام الذاكرة هذه هو بالضبط 0x1000 بايت، فهذه علامة على التلاعب المحتمل".
وقد قدمت Cisco مجموعتين من الخطوات التي يمكن لمسؤولي الشبكة اتخاذها لتحديد وإزالة Line Runner الخلفي المستمر من ArcaneDoor على جهاز ASA بمجرد تطبيق التصحيح. الأول هو إجراء مراجعة لمحتويات القرص 0؛ إذا ظهر ملف جديد (على سبيل المثال، "client_bundle_install.zip" أو أي ملف .zip آخر غير عادي) على القرص، فهذا يعني أن Line Runner كان موجودًا ولكنه لم يعد نشطًا بسبب التحديث.
يمكن للمسؤولين أيضًا اتباع سلسلة من الأوامر المقدمة والتي ستنشئ ملفًا غير ضار بامتداد .zip والذي سيتم قراءته بواسطة ASA عند إعادة التشغيل. إذا ظهر على القرص 0، فهذا يعني أنه من المحتمل أن يكون Line Runner موجودًا على الجهاز المعني. يمكن للمسؤولين بعد ذلك حذف ملف "client_bundle_install.zip" لإزالة الباب الخلفي.
إذا عثر المسؤولون على ملف .zip تم إنشاؤه حديثًا على أجهزة ASA الخاصة بهم، فيجب عليهم نسخ هذا الملف من الجهاز وإرساله بالبريد الإلكتروني [البريد الإلكتروني محمي] باستخدام مرجع إلى CVE-2024-20359 ويتضمن مخرجات أوامر "dir disk0:" و"show version" من الجهاز، بالإضافة إلى ملف .zip الذي استخرجوه.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
