Ein staatlich geförderter Bedrohungsakteur hat im Rahmen einer globalen Cyberspionagekampagne zwei Zero-Day-Schwachstellen von Cisco in Firewall-Geräten ausgenutzt, um mit zwei maßgeschneiderten Hintertüren den Rand von Regierungsnetzwerken anzugreifen.
Die als „ArcaneDoor“ bezeichnete Kampagne des bisher unbekannten Akteurs – den Forscher von Cisco Talos als UAT4356 verfolgen – zielt seit mindestens Dezember 2023 auf Cisco Adaptive Security Appliance (ASA)-Firewall-Geräte mehrerer Cisco-Kunden ab, so die Forscher von Cisco Talos enthüllt in einem Blog-Post.
Während der anfängliche Zugriffsvektor des Akteurs unbekannt bleibt, verwendete UAT4356 nach seinem Auftreten eine „ausgeklügelte Angriffskette“, bei der die beiden Schwachstellen ausgenutzt wurden – ein Denial-of-Service-Fehler, der als verfolgt wird CVE-2024-20353 und ein anhaltender lokaler Ausführungsfehler, der als verfolgt wird CVE-2024-20359 das haben seitdem wurde gepatcht – um Malware zu implantieren und Befehle bei einer kleinen Gruppe von Cisco-Kunden auszuführen. Cisco Talos wies außerdem auf einen dritten Fehler in ASA hin: CVE-2024-20358, das in der ArcaneDoor-Kampagne nicht verwendet wurde.
Die Forscher fanden auch Beweise dafür, dass der Akteur Interesse an Geräten von Microsoft und anderen Anbietern hat und diese möglicherweise angreifen wird. Daher ist es von entscheidender Bedeutung, dass Unternehmen sicherstellen, dass alle Perimetergeräte „ordnungsgemäß gepatcht sind, sich an einem zentralen, sicheren Ort anmelden und für eine starke Funktion konfiguriert sind.“ Multifaktor-Authentifizierung (MFA)“, schrieb Cisco Talos in dem Beitrag.
Benutzerdefinierte Backdoor-Malware für globale Regierungen
Das erste Anzeichen verdächtiger Aktivitäten im Rahmen der Kampagne kam Anfang 2024, als sich ein Kunde wegen Sicherheitsbedenken bei seinen ASA-Firewall-Geräten an das Product Security Incident Response Team (PSIRT) von Cisco und Cisco Talos wandte.
Eine anschließende mehrmonatige Untersuchung von Cisco und Geheimdienstpartnern deckte eine von Bedrohungsakteuren kontrollierte Infrastruktur auf, die bis Anfang November 2023 zurückreicht. Die meisten Angriffe – die alle auf Regierungsnetzwerke weltweit abzielten – ereigneten sich zwischen Dezember und Anfang Januar. Es gibt auch Hinweise darauf, dass der Akteur – den Microsoft mittlerweile ebenfalls als STORM-1849 verfolgt – seine Fähigkeiten bereits im vergangenen Juli getestet und weiterentwickelt hat.
Die primäre Nutzlast der Kampagne sind zwei benutzerdefinierte Hintertüren – „Line Dancer“ und „Line Runner“ – die von UAT4356 gemeinsam verwendet wurden, um böswillige Aktivitäten im Netzwerk durchzuführen, wie z. B. Konfiguration und Änderung; Aufklärung; Erfassung/Exfiltration des Netzwerkverkehrs; und möglicherweise seitliche Bewegung.
Line Dancer ist ein speicherresidenter Shellcode-Interpreter, der es Angreifern ermöglicht, beliebige Shellcode-Nutzlasten hochzuladen und auszuführen. Im Rahmen der Kampagne beobachtete Cisco Talos, dass die Malware zur Ausführung verschiedener Befehle auf einem ASA-Gerät verwendet wurde, darunter: Deaktivieren des Syslogs; Ausführen und Exfiltrieren des Befehls „Show Configuration“; Erstellen und Exfiltrieren von Paketerfassungen; und Ausführen von im Shellcode vorhandenen Befehlen, neben anderen Aktivitäten.
Laut Cisco handelt es sich bei Line Runner um einen Persistenzmechanismus, der auf dem ASA-Gerät bereitgestellt wird und Funktionen im Zusammenhang mit einer Legacy-Funktion nutzt, die das Vorladen von VPN-Clients und Plugins auf dem Gerät während des Bootens ermöglicht, was laut Cisco als CVE-2024-20359 ausgenutzt werden kann Talos. In mindestens einem Fall hat der Bedrohungsakteur auch CVE-2024-20353 missbraucht, um diesen Prozess zu erleichtern.
„Die Angreifer konnten diese Schwachstelle ausnutzen, um einen Neustart des Ziel-ASA-Geräts zu veranlassen und so das Entpacken und Installieren von Line Runner auszulösen“, so die Forscher.
Schützen Sie den Perimeter vor Cyberangreifern
Perimetergeräte, die sich an der Grenze zwischen dem internen Netzwerk einer Organisation und dem Internet befinden, „sind der perfekte Angriffspunkt für auf Spionage ausgerichtete Kampagnen“, heißt es Bedrohungsakteure Eine Möglichkeit, Fuß zu fassen, um „direkt in eine Organisation einzudringen, den Datenverkehr umzuleiten oder zu ändern und die Netzwerkkommunikation im sicheren Netzwerk zu überwachen“, so Cisco Talos.
Null-Tage auf diesen Geräten stellen eine besonders attraktive Angriffsfläche für diese Geräte dar, bemerkt Andrew Costis, Kapitelleiter des Adversary Research Teams beim MITRE ATT&CK-Testunternehmen AngriffIQ.
„Wir haben immer wieder erlebt, dass kritische Zero- und N-Day-Schwachstellen bei allen gängigen Sicherheitsgeräten und -software ausgenutzt werden“, sagt er und verweist auf frühere Angriffe auf Fehler in Geräten von Ivanti, Palo Alto NetworksUnd andere.
Die Bedrohung dieser Geräte verdeutlicht die Notwendigkeit für Unternehmen, sie „routinemäßig und zeitnah“ mit aktuellen Hardware- und Softwareversionen und -konfigurationen zu patchen und sie laut Cisco Talos streng auf ihre Sicherheit zu überwachen.
Organisationen sollten sich auch auf die TTPs von Bedrohungsakteuren nach der Kompromittierung konzentrieren und bekannte Verhaltensweisen von Gegnern im Rahmen eines „mehrschichtigen Ansatzes“ für defensive Netzwerkoperationen testen, sagt Costis.
Erkennen der ArcaneDoor-Cyberangriffsaktivität
Zu den Kompromittierungsindikatoren (Indicators of Compromise, IoCs), nach denen Kunden suchen können, wenn sie vermuten, dass sie von ArcaneDoor angegriffen wurden, gehören etwaige Datenströme zu/von ASA-Geräten zu einer der IP-Adressen, die in der im Blog enthaltenen IOC-Liste aufgeführt sind.
Organisationen können auch den Befehl „Speicherbereich anzeigen |“ ausgeben include lina“, um ein anderes IOC zu identifizieren. „Wenn die Ausgabe mehr als einen ausführbaren Speicherbereich anzeigt … insbesondere wenn einer dieser Speicherabschnitte genau 0x1000 Bytes groß ist, dann ist dies ein Zeichen für mögliche Manipulationen“, schrieb Cisco Talos.
Und Cisco hat zwei Schritte mit Maßnahmen bereitgestellt, mit denen Netzwerkadministratoren die ArcaneDoor-Persistenz-Backdoor Line Runner auf einem ASA-Gerät identifizieren und entfernen können, sobald der Patch angewendet wurde. Die erste besteht darin, eine Überprüfung des Inhalts von disk0 durchzuführen. Wenn eine neue Datei (z. B. „client_bundle_install.zip“ oder eine andere ungewöhnliche .zip-Datei) auf der Festplatte erscheint, bedeutet dies, dass Line Runner vorhanden war, aber aufgrund des Updates nicht mehr aktiv ist.
Administratoren können auch eine Reihe bereitgestellter Befehle befolgen, die eine harmlose Datei mit der Erweiterung .zip erstellen, die von der ASA beim Neustart gelesen wird. Wenn es auf disk0 erscheint, bedeutet das, dass Line Runner wahrscheinlich auf dem betreffenden Gerät vorhanden war. Administratoren können dann die Datei „client_bundle_install.zip“ löschen, um die Hintertür zu entfernen.
Wenn Administratoren eine neu erstellte ZIP-Datei auf ihren ASA-Geräten finden, sollten sie diese Datei vom Gerät kopieren und per E-Mail versenden [E-Mail geschützt] unter Verwendung eines Verweises auf CVE-2024-20359 und einschließlich der Ausgaben der Befehle „dir disk0:“ und „show version“ vom Gerät sowie der extrahierten ZIP-Datei.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
