Riiklikult toetatud ohus osaleja on ülemaailmses küberspionaažikampaanias kasutanud ära kaht Cisco nullpäeva turvaauku tulemüüriseadmetes, et sihtida valitsusvõrkude perimeetrit kahe eritellimusel ehitatud tagauksega.
Varem tundmatu näitleja kampaania nimega ArcaneDoor – mida Cisco Talose teadlased jälgivad kui UAT4356 – on alates 2023. aasta detsembrist sihikule võtnud mitme Cisco kliendi Cisco Adaptive Security Appliance (ASA) tulemüüriseadmed, teatasid Cisco Talose teadlased. selgus aastal blogi postitus.
Kuigi näitleja esialgne juurdepääsuvektor jääb teadmata, kasutas UAT4356 pärast selle esinemist "keerulist ründeahelat", mis hõlmas kahe haavatavuse ärakasutamist - teenuse keelamise viga, mida jälgiti kui CVE-2024-20353 ja püsiv kohalik täitmise viga, mida jälgitakse kui CVE-2024-20359 mis on sellest ajast peale lapitud — pahavara juurutamiseks ja käskude täitmiseks väikesele hulgale Cisco klientidele. Cisco Talos märkis ka ASA kolmanda vea, CVE-2024-20358, mida kampaanias ArcaneDoor ei kasutatud.
Uurijad leidsid ka tõendeid selle kohta, et näitlejal on huvi Microsofti ja teiste tarnijate seadmete vastu ja nad võivad neid rünnata, mistõttu on ülioluline, et organisatsioonid tagaksid, et kõik perimeetri seadmed on korralikult paigatud, logivad sisse kesksesse turvalisse asukohta ja konfigureeritakse nii, et neil oleks tugev. mitmefaktoriline autentimine (MFA), ”kirjutas Cisco Talos postituses.
Kohandatud tagaukse pahavara ülemaailmsetele valitsustele
Esimene märk kahtlasest tegevusest kampaanias ilmnes 2024. aasta alguses, kui klient pöördus Cisco tooteturbe intsidentidele reageerimise meeskonna (PSIRT) ja Cisco Talose poole oma ASA tulemüüriseadmetega seotud turvaprobleemide osas.
Järgnenud mitu kuud kestnud uurimine, mille viisid läbi Cisco ja luurepartnerid, avastas ohus osalejate kontrollitud taristu, mis pärineb 2023. aasta novembri algusest. Enamik rünnakutest – mis kõik olid suunatud valitsusvõrkude vastu ülemaailmselt – toimusid detsembrist jaanuari alguseni. Samuti on tõendeid selle kohta, et näitleja – mida Microsoft jälgib praegu ka nime all STORM-1849 – katsetas ja arendas oma võimekust juba eelmise aasta juulis.
Kampaania peamised kasulikud koormused on kaks kohandatud tagaust – “Line Dancer” ja “Line Runner”, mida UAT4356 kasutas koos võrgus pahatahtlike tegevuste läbiviimiseks, nagu seadistamine ja muutmine; luure; võrguliikluse hõivamine/eksfiltreerimine; ja potentsiaalselt külgsuunaline liikumine.
Line Dancer on mälus püsiv shellcode'i tõlk, mis võimaldab vastastel üles laadida ja käivitada suvalisi shellkoodi kasulikke koormusi. Kampaanias jälgis Cisco Talos, et pahavara kasutatakse ASA-seadmes erinevate käskude täitmiseks, sealhulgas: syslogi keelamine; käsu näitamise konfiguratsiooni käivitamine ja väljafiltreerimine; pakettpüüdmiste loomine ja väljafiltreerimine; ja muu hulgas shellkoodis olevate käskude täitmine.
Samal ajal on Line Runner ASA-seadmesse juurutatud püsivusmehhanism, mis kasutab pärandfunktsiooniga seotud funktsioone, mis võimaldasid käivitamise ajal seadmesse eellaadida VPN-kliente ja pistikprogramme, mida saab Cisco andmetel kasutada kui CVE-2024-20359. Talos. Vähemalt ühel juhul kuritarvitas ohustaja selle protsessi hõlbustamiseks ka CVE-2024-20353.
Teadlaste sõnul suutsid ründajad seda haavatavust ära kasutada, et panna sihtmärk ASA-seade taaskäivitama, käivitades Line Runneri lahtipakkimise ja installimise.
Kaitske perimeetrit küberründajate eest
Perimeetriseadmed, mis asuvad organisatsiooni sisevõrgu ja Interneti vahelisel piiril, on "ideaalne sissetungimispunkt spionaažile keskendunud kampaaniate jaoks", pakkudes ohus osalejad Cisco Talose andmetel on võimalus saada jalad alla, et „otse organisatsiooniga liituda, liiklust ümber suunata või muuta ja võrgusuhtlust turvalises võrgus jälgida.
Null-päevad Nendel seadmetel on nende seadmete jaoks eriti atraktiivne ründepind, märgib Andrew Costis, testimisfirma MITER ATT&CK vastaste uurimisrühma juht. AttackIQ.
"Oleme ikka ja jälle näinud kriitilisi null- ja n-päevaseid turvaauke, mida kasutatakse ära kõigi tavaliste turbeseadmete ja -tarkvaraga," ütleb ta, märkides varasemaid rünnakuid seadmete vigade vastu. Ivanti, Palo Alto NetworksJa teised.
Nende seadmete oht rõhutab Cisco Talose andmetel organisatsioonide vajadust neid "rutiinselt ja viivitamatult" parandada, kasutades uusimaid riist- ja tarkvaraversioone ja konfiguratsioone, ning jälgida nende turvalisust.
Costis ütleb, et organisatsioonid peaksid keskenduma ka ohus osalejate kompromissijärgsetele TTP-dele ja testima tuntud vastase käitumist osana kaitsva võrguoperatsiooni "kihilisest lähenemisviisist".
ArcaneDoor küberrünnaku aktiivsuse tuvastamine
Kompromissi indikaatorid (IoC-d), mida kliendid saavad otsida, kui nad kahtlustavad, et ArcaneDoor võib neid sihtida, hõlmavad kõiki vooge ASA-seadmetesse ja ASA-seadmetest mis tahes IP-aadressidele, mis on ajaveebis sisalduvas IOC-loendis.
Organisatsioonid võivad anda ka käsu "näita mälupiirkonda | include lina”, et tuvastada teine ROK. "Kui väljund näitab rohkem kui ühte täitmismälu piirkonda … eriti kui üks neist mäluosadest on täpselt 0x1000 baiti, on see märk võimalikust rikkumisest," kirjutas Cisco Talos.
Ja Cisco pakkus kaks komplekti samme, mida võrguadministraatorid saavad teha, et tuvastada ja eemaldada ASA-seadmes ArcaneDoor püsiva tagaukse Line Runner pärast plaastri rakendamist. Esimene on disk0 sisu ülevaatamine; kui kettale ilmub uus fail (nt "client_bundle_install.zip" või mõni muu ebatavaline ZIP-fail), tähendab see, et Line Runner oli olemas, kuid pole värskenduse tõttu enam aktiivne.
Administraatorid saavad järgida ka mitmeid käske, mis loovad kahjutu ZIP-laiendiga faili, mida ASA loeb taaskäivitamisel. Kui see kuvatakse disk0-l, tähendab see, et Line Runner oli tõenäoliselt kõnealuses seadmes olemas. Seejärel saavad administraatorid tagaukse eemaldamiseks kustutada faili „client_bundle_install.zip”.
Kui administraatorid leiavad oma ASA-seadmetest äsja loodud ZIP-faili, peaksid nad selle faili seadmest välja kopeerima ja saatma e-posti. [meiliga kaitstud] kasutades viidet CVE-2024-20359 ja kaasates seadme käskude „dir disk0:” ja „show version” väljundid, samuti nende ekstraktitud ZIP-faili.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
