Valtion tukema uhkatoimija on hyödyntänyt kahta Ciscon nollapäivän haavoittuvuutta palomuurilaitteissa kohdistaakseen hallinnon verkkojen kehälle kaksi räätälöityä takaovea maailmanlaajuisessa kybervakoilukampanjassa.
Aiemmin tuntemattoman toimijan ArcaneDoor-nimeksi kutsuttu kampanja, jota Cisco Talosin tutkijat seuraavat nimellä UAT4356, on kohdistanut useiden Ciscon asiakkaiden Cisco Adaptive Security Appliance (ASA) -palomuurilaitteisiin ainakin joulukuusta 2023 lähtien, Cisco Talosin tutkijat. paljasti on blogi.
Vaikka näyttelijän alkuperäinen pääsyvektori on edelleen tuntematon, sen tapahtuessa UAT4356 käytti "kehittynyttä hyökkäysketjua", joka sisälsi näiden kahden haavoittuvuuden hyödyntämisen - palvelunestovirheen, joka jäljitettiin nimellä CVE-2024-20353 ja jatkuva paikallinen suoritusvirhe, joka jäljitetään nimellä CVE-2024-20359 jotka ovat siitä lähtien paikattu — istuttaa haittaohjelmia ja suorittaa komentoja pienelle joukolle Ciscon asiakkaita. Cisco Talos ilmoitti myös kolmannesta virheestä ASA:ssa, CVE-2024-20358, jota ei käytetty ArcaneDoor-kampanjassa.
Tutkijat löysivät myös todisteita siitä, että näyttelijä on kiinnostunut Microsoftin ja muiden toimittajien laitteista ja mahdollisesti hyökkää niitä vastaan, minkä vuoksi on ratkaisevan tärkeää, että organisaatiot varmistavat, että kaikki reunalaitteet "ovat korjattu oikein, kirjautuvat keskeiseen, suojattuun sijaintiin ja konfiguroituvat multifactor authentication (MFA), Cisco Talos kirjoitti viestissä.
Mukautettu takaoven haittaohjelma maailmanlaajuisille hallituksille
Ensimmäinen merkki epäilyttävästä toiminnasta kampanjassa tuli vuoden 2024 alussa, kun asiakas otti yhteyttä Ciscon PSIRT-ryhmään (Product Security Incident Response Team) ja Cisco Talosiin ASA-palomuurilaitteidensa turvallisuusongelmista.
Myöhemmin Ciscon ja tiedustelukumppanien suorittama useita kuukausia kestänyt tutkimus paljasti uhkatoimijoiden hallitseman infrastruktuurin marraskuun 2023 alussa. Suurin osa hyökkäyksistä – jotka kaikki kohdistuivat hallituksen verkkoihin maailmanlaajuisesti – tapahtuivat joulukuun ja tammikuun alun välillä. On myös näyttöä siitä, että näyttelijä – jota Microsoftkin seuraa nyt nimellä STORM-1849 – testasi ja kehitti kykyään jo viime heinäkuussa.
Kampanjan ensisijaiset hyötykuormat ovat kaksi mukautettua takaovea - "Line Dancer" ja "Line Runner" - joita UAT4356 käytti yhdessä haitallisten toimintojen suorittamiseen verkossa, kuten konfiguroinnissa ja muokkauksissa; tiedustelu; verkkoliikenteen talteenotto/suodatus; ja mahdollisesti sivuttaisliikettä.
Line Dancer on muistissa oleva shellcode-tulkki, jonka avulla vastustajat voivat ladata ja suorittaa mielivaltaisia shellcode-hyötykuormia. Kampanjassa Cisco Talos havaitsi, että haittaohjelmia käytettiin suorittamaan erilaisia komentoja ASA-laitteella, mukaan lukien: syslogin poistaminen käytöstä; näytä kokoonpanon komennon suorittaminen ja suodattaminen; pakettikaappausten luominen ja suodattaminen; ja shell-koodissa olevien komentojen suorittaminen muiden toimintojen ohella.
Line Runner on tällä välin ASA-laitteessa käyttöön otettu pysyvyysmekanismi, joka käyttää vanhaan toimintoon liittyviä toimintoja, jotka mahdollistivat VPN-asiakkaiden ja laajennuksien esilatauksen laitteeseen käynnistyksen aikana, joita voidaan hyödyntää nimellä CVE-2024-20359 Ciscon mukaan. Talos. Ainakin yhdessä tapauksessa uhkatekijä käytti myös väärin CVE-2024-20353:a helpottaakseen tätä prosessia.
"Hyökkääjät pystyivät hyödyntämään tätä haavoittuvuutta saamaan kohteena olevan ASA-laitteen käynnistymään uudelleen, mikä laukaisi Line Runnerin purkamisen ja asennuksen", tutkijoiden mukaan.
Suojaa kehä kyberhyökkääjiltä
Kehälaitteet, jotka sijaitsevat organisaation sisäisen verkon ja Internetin välissä, "ovat täydellisen tunkeutumiskohdan vakoiluon keskittyville kampanjoille". uhka toimijat tapa saada jalansijaa "liittyä suoraan organisaatioon, reitittää uudelleen tai muokata liikennettä ja valvoa verkkoviestintää suojattuun verkkoon Cisco Talosin mukaan.
Nolla päivää näissä laitteissa on erityisen houkutteleva hyökkäyspinta näille laitteille, toteaa Andrew Costis, MITER ATT&CK -testausyrityksen Adversary Research Teamin ryhmän johtaja. AttackIQ.
"Olemme kerta toisensa jälkeen nähneet kriittisiä nolla- ja n-päivän haavoittuvuuksia hyödynnettyinä kaikkien yleisten tietoturvalaitteiden ja -ohjelmistojen kanssa", hän sanoo ja panee merkille aiemmat hyökkäykset laitteissa. Ivanti, Palo Alto -verkot, Ja toiset.
Näihin laitteisiin kohdistuva uhka korostaa Cisco Talosin mukaan organisaatioiden tarvetta "rutiininomaisesti ja viipymättä" korjata ne käyttämällä ajan tasalla olevia laitteisto- ja ohjelmistoversioita ja -kokoonpanoja sekä ylläpitää niiden tiivistä tietoturvaseurantaa.
Organisaatioiden tulisi myös keskittyä uhkatoimijoiden kompromissin jälkeisiin TTP:ihin ja testata tunnettuja vihollisen käyttäytymistä osana "kerroksista lähestymistapaa" puolustavaan verkkotoimintaan, Costis sanoo.
ArcaneDoorin kyberhyökkäystoiminnan havaitseminen
Kompromissi-indikaattoreita (IoC), joita asiakkaat voivat etsiä, jos he epäilevät, että ArcaneDoor on joutunut heidän kohteeksi, sisältävät kaikki virtaukset ASA-laitteille tai niistä mihin tahansa blogiin sisällytetyssä IOC-luettelossa oleviin IP-osoitteisiin.
Organisaatiot voivat myös antaa komennon "näytä muistialue | include lina” tunnistaaksesi toisen KOK:n. "Jos tulos osoittaa useamman kuin yhden suoritettavan muistialueen ... varsinkin jos yksi näistä muistiosista on täsmälleen 0x1000 tavua, tämä on merkki mahdollisesta peukaloitumisesta", Cisco Talos kirjoitti.
Ja Cisco tarjosi kaksi vaihetta, jotka verkonvalvojat voivat suorittaa tunnistaakseen ja poistaakseen ArcaneDoor-persistence backdoor Line Runnerin ASA-laitteesta korjaustiedoston asentamisen jälkeen. Ensimmäinen on suorittaa disk0:n sisällön tarkistus; Jos uusi tiedosto (esim. "client_bundle_install.zip" tai mikä tahansa muu epätavallinen .zip-tiedosto) ilmestyy levylle, se tarkoittaa, että Line Runner oli olemassa, mutta ei ole enää aktiivinen päivityksen vuoksi.
Järjestelmänvalvojat voivat myös seurata useita komentoja edellyttäen, että ne luovat harmittoman .zip-tunnisteisen tiedoston, jonka ASA lukee uudelleenkäynnistettäessä. Jos se näkyy levyllä disk0, se tarkoittaa, että Line Runner oli todennäköisesti läsnä kyseisessä laitteessa. Järjestelmänvalvojat voivat sitten poistaa "client_bundle_install.zip"-tiedoston takaoven poistamiseksi.
Jos järjestelmänvalvojat löytävät äskettäin luodun .zip-tiedoston ASA-laitteistaan, heidän tulee kopioida tiedosto laitteesta ja lähettää sähköpostia [sähköposti suojattu] käyttäen viittausta CVE-2024-20359:ään ja sisältäen laitteen "dir disk0:"- ja "show version" -komentojen lähdöt sekä niiden purkaman .zip-tiedoston.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
