Intelligence de données générative

Cyber sécurité

Campagne de cyberespionnage « ArcaneDoor » de Cisco Zero-Days

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Un acteur malveillant parrainé par un État a exploité deux vulnérabilités Zero Day de Cisco dans les pare-feu pour cibler le périmètre des réseaux gouvernementaux avec deux portes dérobées sur mesure, dans le cadre d'une campagne mondiale de cyberespionnage.

Surnommée « ArcaneDoor », la campagne menée par un acteur jusqu'alors inconnu – que les chercheurs de Cisco Talos suivent sous le nom d'UAT4356 – cible les pare-feu Cisco Adaptive Security Appliance (ASA) de plusieurs clients Cisco depuis au moins décembre 2023, selon les chercheurs de Cisco Talos. révélé dans un billet de blog.

Bien que le vecteur d'accès initial de l'acteur reste inconnu, une fois qu'il s'est produit, UAT4356 a utilisé une « chaîne d'attaque sophistiquée » impliquant l'exploitation des deux vulnérabilités – une faille de déni de service identifiée comme CVE-2024-20353 et une faille d'exécution locale persistante identifiée comme CVE-2024-20359 qui ont depuis été patché – pour implanter des logiciels malveillants et exécuter des commandes sur un petit ensemble de clients Cisco. Cisco Talos a également signalé une troisième faille dans ASA, CVE-2024-20358, qui n'a pas été utilisé dans la campagne ArcaneDoor.

Les chercheurs ont également trouvé des preuves que l'acteur s'intéresse aux appareils de Microsoft et d'autres fournisseurs et qu'il les attaquera potentiellement. Il est donc crucial que les organisations s'assurent que tous les appareils périmétriques « sont correctement corrigés, se connectent à un emplacement central et sécurisé et configurés pour avoir une forte sécurité ». authentification multifacteur (MFA) », a écrit Cisco Talos dans le message.

Logiciel malveillant de porte dérobée personnalisé pour les gouvernements du monde entier

Le premier signe d'activité suspecte dans la campagne est apparu début 2024 lorsqu'un client a contacté l'équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco et Cisco Talos au sujet de problèmes de sécurité liés à ses pare-feu ASA.

Une enquête ultérieure de plusieurs mois menée par Cisco et ses partenaires de renseignement a révélé une infrastructure contrôlée par des acteurs malveillants remontant à début novembre 2023. La plupart des attaques, qui ciblaient toutes les réseaux gouvernementaux dans le monde entier, ont eu lieu entre décembre et début janvier. Il existe également des preuves que l'acteur – que Microsoft suit également sous le nom de STORM-1849 – testait et développait ses capacités dès juillet dernier.

Les principales charges utiles de la campagne sont deux portes dérobées personnalisées — « Line Dancer » et « Line Runner » — qui ont été utilisées ensemble par UAT4356 pour mener des activités malveillantes sur le réseau, telles que la configuration et la modification ; reconnaissance; capture/exfiltration du trafic réseau ; et potentiellement un mouvement latéral.  

Line Dancer est un interpréteur de shellcode résidant en mémoire qui permet aux adversaires de télécharger et d'exécuter des charges utiles de shellcode arbitraires. Au cours de la campagne, Cisco Talos a observé que le logiciel malveillant était utilisé pour exécuter diverses commandes sur un périphérique ASA, notamment : la désactivation du syslog ; exécuter et exfiltrer la commande show configuration ; créer et exfiltrer des captures de paquets ; et exécuter des commandes présentes dans le shellcode, entre autres activités.

Line Runner, quant à lui, est un mécanisme de persistance déployé sur le périphérique ASA utilisant une fonctionnalité liée à une capacité héritée qui permettait le préchargement de clients VPN et de plugins sur le périphérique pendant le démarrage qui peut être exploité comme CVE-2024-20359, selon Cisco. Talos. Dans au moins un cas, l’auteur de la menace a également abusé du CVE-2024-20353 pour faciliter ce processus.

"Les attaquants ont pu exploiter cette vulnérabilité pour provoquer le redémarrage du périphérique ASA cible, déclenchant ainsi la décompression et l'installation" de Line Runner, selon les chercheurs.

Protéger le périmètre des cyberattaquants

Les dispositifs périmétriques, situés à la frontière entre le réseau interne d'une organisation et Internet, « constituent le point d'intrusion idéal pour les campagnes d'espionnage », offrant acteurs de la menace un moyen de prendre pied pour « pivoter directement dans une organisation, rediriger ou modifier le trafic et surveiller les communications réseau dans le réseau sécurisé, selon Cisco Talos.

Zéro-jours sur ces appareils constituent une surface d'attaque particulièrement attrayante sur ces appareils, note Andrew Costis, chef de chapitre de l'équipe de recherche contradictoire de la société de test MITRE ATT&CK. AttaqueIQ.

« Nous avons constaté à maintes reprises que des vulnérabilités critiques de type zéro et n jours étaient exploitées avec tous les appareils et logiciels de sécurité traditionnels », dit-il, soulignant les attaques précédentes contre des bogues dans les appareils de Ivanti, Palo Alto NetworksEt autres.

La menace qui pèse sur ces appareils met en évidence la nécessité pour les organisations de les corriger « régulièrement et rapidement » en utilisant des versions et des configurations matérielles et logicielles à jour, ainsi que d'en maintenir une surveillance étroite de leur sécurité, selon Cisco Talos.

Les organisations devraient également se concentrer sur les TTP post-compromission des acteurs de la menace et tester les comportements des adversaires connus dans le cadre d'une « approche à plusieurs niveaux » des opérations défensives du réseau, explique Costis.

Détection de l'activité de cyberattaque ArcaneDoor

Les indicateurs de compromission (IoC) que les clients peuvent rechercher s'ils soupçonnent avoir été ciblés par ArcaneDoor incluent tout flux vers/depuis des appareils ASA vers l'une des adresses IP présentes dans la liste IOC incluse dans le blog.

Les organisations peuvent également émettre la commande « show memory region | inclure Lina » pour identifier un autre CIO. "Si la sortie indique plus d'une région de mémoire exécutable… surtout si l'une de ces sections de mémoire fait exactement 0x1000 XNUMX octets, alors c'est un signe de falsification potentielle", a écrit Cisco Talos.  

De plus, Cisco a fourni deux séries d'étapes que les administrateurs réseau peuvent suivre pour identifier et supprimer la porte dérobée de persistance ArcaneDoor Line Runner sur un périphérique ASA une fois le correctif appliqué. La première consiste à examiner le contenu de disk0 ; si un nouveau fichier (par exemple, « client_bundle_install.zip » ou tout autre fichier .zip inhabituel) apparaît sur le disque, cela signifie que Line Runner était présent mais n'est plus actif en raison de la mise à jour.

Les administrateurs peuvent également suivre une série de commandes fournies qui créeront un fichier inoffensif avec une extension .zip qui sera lu par l'ASA au redémarrage. S'il apparaît sur le disque0, cela signifie que Line Runner était probablement présent sur le périphérique en question. Les administrateurs peuvent ensuite supprimer le fichier « client_bundle_install.zip » pour supprimer la porte dérobée.

Si les administrateurs trouvent un fichier .zip nouvellement créé sur leurs appareils ASA, ils doivent copier ce fichier hors de l'appareil et l'envoyer par courrier électronique. [email protected] en utilisant une référence à CVE-2024-20359 et en incluant les sorties des commandes « dir disk0: » et « show version » de l'appareil, ainsi que le fichier .zip qu'elles ont extrait.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?