Un gruppo criminale sponsorizzato dallo stato ha sfruttato due vulnerabilità zero-day di Cisco nei dispositivi firewall per colpire il perimetro delle reti governative con due backdoor personalizzate, in una campagna globale di spionaggio informatico.
Soprannominata “ArcaneDoor”, la campagna dell’attore precedentemente sconosciuto – che i ricercatori di Cisco Talos tracciano come UAT4356 – ha preso di mira i dispositivi firewall Cisco Adaptive Security Appliance (ASA) di diversi clienti Cisco almeno dal dicembre 2023, ricercatori di Cisco Talos rivelato in un post sul blog.
Sebbene il vettore di accesso iniziale dell'autore rimanga sconosciuto, una volta che si è verificato, UAT4356 ha utilizzato una "catena di attacco sofisticata" che prevedeva lo sfruttamento delle due vulnerabilità: un difetto di negazione del servizio tracciato come CVE-2024-20353 e un persistente difetto di esecuzione locale rilevato come CVE-2024-20359 che da allora stato rattoppato – per impiantare malware ed eseguire comandi su un piccolo gruppo di clienti Cisco. Cisco Talos ha inoltre segnalato un terzo difetto nell'ASA, CVE-2024-20358, che non è stato utilizzato nella campagna ArcaneDoor.
I ricercatori hanno anche trovato prove che l’autore ha interesse e potenzialmente attaccherà i dispositivi Microsoft e altri fornitori, rendendo fondamentale che le organizzazioni garantiscano che tutti i dispositivi perimetrali “siano adeguatamente patchati, accedano a una posizione centrale e sicura e configurati per avere una forte autenticazione a più fattori (MFA)”, ha scritto Cisco Talos nel post.
Malware backdoor personalizzato per governi globali
Il primo segnale di attività sospetta nella campagna è arrivato all'inizio del 2024, quando un cliente ha contattato il Product Security Incident Response Team (PSIRT) di Cisco e Cisco Talos per problemi di sicurezza con i suoi dispositivi firewall ASA.
Una successiva indagine durata diversi mesi condotta da Cisco e dai partner dell’intelligence ha scoperto infrastrutture controllate da autori di minacce risalenti all’inizio di novembre 2023. La maggior parte degli attacchi, tutti mirati a reti governative a livello globale, si sono verificati tra dicembre e l’inizio di gennaio. Ci sono anche prove che l'attore, che anche Microsoft sta ora monitorando come STORM-1849, stava testando e sviluppando le sue capacità già nello scorso luglio.
I principali payload della campagna sono due backdoor personalizzate, "Line Dancer" e "Line Runner", utilizzate insieme da UAT4356 per condurre attività dannose sulla rete, come configurazione e modifica; ricognizione; cattura/esfiltrazione del traffico di rete; e potenzialmente movimento laterale.
Line Dancer è un interprete di shellcode residente in memoria che consente agli avversari di caricare ed eseguire payload di shellcode arbitrari. Nella campagna, Cisco Talos ha osservato che il malware veniva utilizzato per eseguire vari comandi su un dispositivo ASA, tra cui: disabilitare il syslog; lanciando ed estraendo il comando mostra configurazione; creare ed estrarre acquisizioni di pacchetti; ed eseguire comandi presenti nello shellcode, tra le altre attività.
Line Runner nel frattempo è un meccanismo di persistenza distribuito sul dispositivo ASA che utilizza funzionalità relative a una capacità legacy che consentiva il precaricamento di client VPN e plug-in sul dispositivo durante l'avvio che può essere sfruttato come CVE-2024-20359, secondo Cisco Talos. In almeno un caso, l’autore della minaccia ha anche abusato di CVE-2024-20353 per facilitare questo processo.
"Gli aggressori sono stati in grado di sfruttare questa vulnerabilità per riavviare il dispositivo ASA preso di mira, innescando la decompressione e l'installazione" di Line Runner, secondo i ricercatori.
Proteggi il perimetro dai cyberattaccanti
I dispositivi perimetrali, che si trovano al confine tra la rete interna di un'organizzazione e Internet, "sono il punto di intrusione perfetto per campagne incentrate sullo spionaggio", fornendo attori della minaccia secondo Cisco Talos, un modo per guadagnare un punto d'appoggio per “orientarsi direttamente all'interno di un'organizzazione, reindirizzare o modificare il traffico e monitorare le comunicazioni di rete nella rete sicura”.
Zero-giorni su questi dispositivi rappresentano una superficie di attacco particolarmente attraente su questi dispositivi, osserva Andrew Costis, responsabile del capitolo dell'Adversary Research Team presso la società di test MITRE ATT&CK AttackIQ.
"Abbiamo visto ripetutamente lo sfruttamento di vulnerabilità critiche pari a zero e n-day con tutti i principali dispositivi e software di sicurezza", afferma, sottolineando precedenti attacchi a bug nei dispositivi di Ivanti, Palo Alto Networks, E altri.
Secondo Cisco Talos, la minaccia a questi dispositivi evidenzia la necessità per le organizzazioni di patcharli “routinariamente e tempestivamente” utilizzando versioni e configurazioni hardware e software aggiornate, nonché di mantenerne uno stretto monitoraggio della sicurezza.
Le organizzazioni dovrebbero inoltre concentrarsi sui TTP post-compromesso degli autori delle minacce e testare i comportamenti noti degli avversari come parte di un “approccio a più livelli” alle operazioni difensive della rete, afferma Costis.
Rilevamento dell'attività di attacco informatico di ArcaneDoor
Gli indicatori di compromissione (IoC) che i clienti possono cercare se sospettano di essere stati presi di mira da ArcaneDoor includono qualsiasi flusso da/verso dispositivi ASA verso uno qualsiasi degli indirizzi IP presenti nell'elenco IOC incluso nel blog.
Le organizzazioni possono anche emettere il comando “mostra regione di memoria | include lina” per identificare un altro CIO. "Se l'output indica più di una regione di memoria eseguibile... soprattutto se una di queste sezioni di memoria è esattamente 0x1000 byte, allora questo è un segno di potenziale manomissione", ha scritto Cisco Talos.
Inoltre, Cisco ha fornito due serie di passaggi che gli amministratori di rete possono eseguire per identificare e rimuovere il Line Runner backdoor di persistenza ArcaneDoor su un dispositivo ASA una volta applicata la patch. Il primo è condurre una revisione del contenuto di disk0; se sul disco appare un nuovo file (ad esempio “client_bundle_install.zip” o qualsiasi altro file .zip insolito), significa che Line Runner era presente ma non è più attivo a causa dell'aggiornamento.
Gli amministratori possono anche seguire una serie di comandi previsti che creeranno un file innocuo con estensione .zip che verrà letto dall'ASA al riavvio. Se appare su disk0, significa che probabilmente Line Runner era presente sul dispositivo in questione. Gli amministratori possono quindi eliminare il file "client_bundle_install.zip" per rimuovere la backdoor.
Se gli amministratori trovano un file .zip appena creato sui propri dispositivi ASA, devono copiare il file dal dispositivo e inviarlo via email [email protected] utilizzando un riferimento a CVE-2024-20359 e includendo gli output dei comandi "dir disk0:" e "mostra versione" dal dispositivo, nonché il file .zip che hanno estratto.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
