国家支援の攻撃者が、世界規模のサイバースパイ活動において、ファイアウォール デバイスの 2 つのシスコ ゼロデイ脆弱性を悪用し、2 つのカスタム構築されたバックドアを備えた政府ネットワークの境界を標的にしました。
「ArcaneDoor」と呼ばれる、これまで知られていなかった攻撃者によるキャンペーン(Cisco Talos の研究者は UAT4356 として追跡)は、少なくとも 2023 年 XNUMX 月以降、複数のシスコ顧客の Cisco 適応型セキュリティ アプライアンス(ASA)ファイアウォール デバイスを標的としていたと Cisco Talos の研究者は発表しました。 明らかになった ブログ投稿インチ
攻撃者の最初のアクセス経路は不明のままですが、攻撃が発生すると、UAT4356 は XNUMX つの脆弱性の悪用を含む「高度な攻撃チェーン」を使用しました。これは、サービス妨害の欠陥として追跡されます。 CVE-2024-20353 そして、永続的なローカル実行の欠陥として追跡されています。 CVE-2024-20359 それ以来 パッチが適用されました — マルウェアを埋め込み、少数のシスコ顧客全体でコマンドを実行します。 Cisco Talos は、ASA の 3 番目の欠陥も報告しました。 CVE-2024-20358、これは ArcaneDoor キャンペーンでは使用されませんでした。
研究者らはまた、攻撃者が Microsoft や他のベンダーのデバイスに興味を持っており、それらのデバイスを攻撃する可能性があるという証拠も発見しました。そのため、組織はすべての境界デバイスに「適切にパッチが適用され、中央の安全な場所にログが記録され、強力なセキュリティが設定されるように構成されていること」を確認することが重要です。多要素認証(MFA)」と Cisco Talos は投稿で書いています。
世界政府向けのカスタム バックドア マルウェア
このキャンペーンにおける不審な活動の最初の兆候は、2024 年の初めに、ある顧客が ASA ファイアウォール デバイスのセキュリティ上の懸念についてシスコの製品セキュリティ インシデント対応チーム (PSIRT) と Cisco Talos に連絡したときに起こりました。
その後、シスコとインテリジェンス パートナーが実施した数か月にわたる調査により、2023 年 1849 月初旬に遡る攻撃者が管理するインフラストラクチャが明らかになりました。攻撃のほとんどは、すべて世界中の政府ネットワークを標的としたもので、XNUMX 月から XNUMX 月初旬にかけて発生しました。また、Microsoft も現在 STORM-XNUMX として追跡しているこの攻撃者が、昨年 XNUMX 月にはその機能をテストおよび開発していたという証拠もあります。
このキャンペーンの主なペイロードは、「Line Dancer」と「Line Runner」という 4356 つのカスタム バックドアであり、UATXNUMX によってこれらが一緒に使用され、ネットワーク上で構成や変更などの悪意のある活動が実行されます。偵察;ネットワークトラフィックのキャプチャ/抽出。そして潜在的に横方向の動き。
Line Dancer はメモリ常駐のシェルコード インタプリタであり、攻撃者が任意のシェルコード ペイロードをアップロードして実行できるようにします。このキャンペーンにおいて、Cisco Talos は、ASA デバイス上で次のようなさまざまなコマンドを実行するためにマルウェアが使用されているのを観察しました。コマンド showconfiguration を実行して抽出します。パケット キャプチャの作成と抽出。他のアクティビティの中でもとりわけ、シェルコードに存在するコマンドの実行。
一方、Line Runner は、CVE-2024-20359 として悪用される可能性がある、ブート中にデバイスへの VPN クライアントとプラグインのプリロードを可能にするレガシー機能に関連する機能を使用して、ASA デバイスに導入された永続化メカニズムです。タロス。少なくとも 2024 つのケースでは、攻撃者はこのプロセスを促進するために CVE-20353-XNUMX も悪用しました。
研究者らによると、「攻撃者はこの脆弱性を利用して、ターゲットの ASA デバイスを再起動させ、Line Runner の解凍とインストールを引き起こすことができた」という。
サイバー攻撃者から境界を守る
組織の内部ネットワークとインターネットの間の境界に位置する境界デバイスは、「スパイ活動に焦点を当てたキャンペーンにとって完璧な侵入ポイントです」。 脅威アクター Cisco Talos によれば、これは「組織に直接移行し、トラフィックを再ルーティングまたは変更し、安全なネットワークへのネットワーク通信を監視する」ための足掛かりを得る方法です。
ゼロデイ これらのデバイスは、特に魅力的な攻撃対象領域であると、MITRE ATT&CK テスト会社の敵対的研究チームの章リーダーである Andrew Costis 氏は指摘しています。 攻撃IQ.
「主流のセキュリティ アプライアンスやソフトウェアのすべてで、重大なゼロデイ脆弱性や n デイ脆弱性が悪用されているのを何度も見てきました。 イヴァンティ、 パロアルトネットワークスなどがあります。
Cisco Talos によれば、これらのデバイスに対する脅威は、組織が最新のハードウェアとソフトウェアのバージョンと構成を使用して「定期的かつ迅速に」パッチを適用し、デバイスの厳重なセキュリティ監視を維持する必要性を浮き彫りにしています。
また、組織は、防御ネットワーク運用への「多層アプローチ」の一環として、脅威アクターの侵害後の TTP に焦点を当て、既知の敵対者の動作をテストする必要があるとコティス氏は言います。
ArcaneDoor サイバー攻撃活動の検出
ArcaneDoor の標的になっている可能性があるとお客様が疑う場合に探すことができる侵害の痕跡(IoC)には、ブログに含まれる IOC リストに存在する IP アドレスへの ASA デバイスとの間のあらゆるフローが含まれます。
組織は、「show メモリ領域 | メモリ領域を表示」コマンドを発行することもできます。 include lina」を使用して別の IOC を識別します。 「出力が複数の実行可能なメモリ領域を示している場合、特にこれらのメモリ セクションの 0 つが正確に 1000xXNUMX バイトである場合、これは改ざんの可能性を示しています」と Cisco Talos は書いています。
また、シスコは、パッチ適用後にネットワーク管理者が ASA デバイス上の ArcaneDoor 永続バックドア Line Runner を特定して削除するために実行できる 0 つの手順を提供しました。 XNUMX つ目は、diskXNUMX の内容を確認することです。新しいファイル (たとえば、「client_bundle_install.zip」またはその他の異常な .zip ファイル) がディスク上に表示された場合、Line Runner は存在していましたが、更新によりアクティブではなくなったことを意味します。
管理者は、リブート時に ASA によって読み取られる .zip 拡張子を持つ無害なファイルを作成する、提供されている一連のコマンドに従うこともできます。それがdisk0に表示される場合は、Line Runnerが問題のデバイスに存在していた可能性が高いことを意味します。その後、管理者は「client_bundle_install.zip」ファイルを削除してバックドアを削除できます。
管理者は、ASA デバイス上で新しく作成された .zip ファイルを見つけた場合、そのファイルをデバイスからコピーして電子メールで送信する必要があります。 [メール保護] CVE-2024-20359 への参照を使用し、デバイスからの「dir disc0:」および「show version」コマンドの出力と、抽出した .zip ファイルを含めます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
