Een door de staat gesponsorde dreigingsactor heeft twee zero-day-kwetsbaarheden van Cisco in firewall-apparaten uitgebuit om de perimeter van overheidsnetwerken te targeten met twee op maat gemaakte achterdeuren, in een wereldwijde cyberspionagecampagne.
De campagne, genaamd ‘ArcaneDoor’, van de voorheen onbekende acteur – die onderzoekers van Cisco Talos volgen als UAT4356 – richt zich sinds minstens december 2023 op Cisco Adaptive Security Appliance (ASA) firewall-apparaten van verschillende Cisco-klanten, zeggen Cisco Talos-onderzoekers onthuld in een blog post.
Hoewel de initiële toegangsvector van de actor onbekend blijft, gebruikte UAT4356, zodra deze zich voordeed, een “geavanceerde aanvalsketen” waarbij misbruik werd gemaakt van de twee kwetsbaarheden – een denial-of-service-fout die werd gevolgd als CVE-2024-20353 en een aanhoudende lokale uitvoeringsfout werd opgespoord als CVE-2024-20359 die sindsdien hebben gepatcht – om malware te implanteren en opdrachten uit te voeren bij een klein aantal Cisco-klanten. Cisco Talos signaleerde ook een derde fout in ASA, CVE-2024-20358, dat niet werd gebruikt in de ArcaneDoor-campagne.
De onderzoekers vonden ook bewijs dat de actor interesse heeft in apparaten van Microsoft en andere leveranciers en deze mogelijk zal aanvallen, waardoor het van cruciaal belang is dat organisaties ervoor zorgen dat alle perimeterapparaten “op de juiste manier zijn gepatcht, inloggen op een centrale, veilige locatie en zijn geconfigureerd om sterke multifactor authenticatie (MFA)”, schreef Cisco Talos in de post.
Aangepaste backdoor-malware voor mondiale overheden
Het eerste teken van verdachte activiteit in de campagne kwam begin 2024 toen een klant contact opnam met Cisco's Product Security Incident Response Team (PSIRT) en Cisco Talos over beveiligingsproblemen met zijn ASA-firewallapparaten.
Een daaropvolgend maandenlang onderzoek, uitgevoerd door Cisco en inlichtingenpartners, bracht een door bedreigingsactoren gecontroleerde infrastructuur aan het licht die teruggaat tot begin november 2023. De meeste aanvallen – die allemaal gericht waren op overheidsnetwerken wereldwijd – vonden plaats tussen december en begin januari. Er zijn ook aanwijzingen dat de actor – die Microsoft nu ook volgt als STORM-1849 – zijn capaciteiten al afgelopen juli aan het testen en ontwikkelen was.
De primaire payloads van de campagne zijn twee aangepaste achterdeurtjes – “Line Dancer” en “Line Runner” – die samen door UAT4356 werden gebruikt om kwaadaardige activiteiten op het netwerk uit te voeren, zoals configuratie en wijziging; verkenning; vastleggen/exfiltratie van netwerkverkeer; en mogelijk zijwaartse beweging.
Line Dancer is een shellcode-interpreter in het geheugen waarmee tegenstanders willekeurige shellcode-payloads kunnen uploaden en uitvoeren. Tijdens de campagne observeerde Cisco Talos dat de malware werd gebruikt om verschillende opdrachten uit te voeren op een ASA-apparaat, waaronder: het uitschakelen van de syslog; het uitvoeren en exfiltreren van de opdracht showconfiguratie; het maken en exfiltreren van pakketopnamen; en het uitvoeren van opdrachten die onder andere in de shellcode aanwezig zijn.
Line Runner is ondertussen een persistentiemechanisme dat op het ASA-apparaat is geïmplementeerd en gebruikmaakt van functionaliteit die verband houdt met een oudere mogelijkheid die het vooraf laden van VPN-clients en plug-ins op het apparaat tijdens het opstarten mogelijk maakte en die volgens Cisco kunnen worden uitgebuit als CVE-2024-20359. Talos. In ten minste één geval heeft de bedreigingsacteur ook misbruik gemaakt van CVE-2024-20353 om dit proces te vergemakkelijken.
“De aanvallers konden deze kwetsbaarheid benutten om het doel-ASA-apparaat opnieuw op te starten, wat het uitpakken en installeren van Line Runner in gang zette”, aldus de onderzoekers.
Bescherm de perimeter tegen cyberaanvallers
Perimeterapparatuur, die zich op de rand bevindt tussen het interne netwerk van een organisatie en het internet, “zijn het perfecte inbraakpunt voor op spionage gerichte campagnes”, waardoor bedreigingsactoren Volgens Cisco Talos is dit een manier om voet aan de grond te krijgen door “rechtstreeks binnen een organisatie te draaien, verkeer om te leiden of te wijzigen en netwerkcommunicatie naar het beveiligde netwerk te monitoren.
Nul-dagen Op deze apparaten bevindt zich een bijzonder aantrekkelijk aanvalsoppervlak, merkt Andrew Costis op, chapter lead van het Adversary Research Team bij testbedrijf MITRE ATT&CK AanvalIQ.
“We hebben keer op keer gezien dat kritieke zero- en n-day-kwetsbaarheden werden uitgebuit met alle reguliere beveiligingsapparatuur en -software”, zegt hij, wijzend op eerdere aanvallen op bugs in apparaten van Ivanti, Palo Alto Networks, En anderen.
De bedreiging voor deze apparaten benadrukt de noodzaak voor organisaties om ze “routinematig en snel” te patchen met behulp van up-to-date hardware- en softwareversies en configuraties, en om de beveiliging nauwlettend in de gaten te houden, aldus Cisco Talos.
Organisaties moeten zich ook richten op post-compromis-TTP’s van bedreigingsactoren en bekend gedrag van tegenstanders testen als onderdeel van “een gelaagde aanpak” van defensieve netwerkoperaties, zegt Costis.
Detecteer ArcaneDoor-cyberaanvalactiviteit
Indicatoren van compromissen (IoC's) waar klanten naar kunnen zoeken als ze vermoeden dat ze het doelwit zijn van ArcaneDoor, zijn onder meer stromen van/naar ASA-apparaten naar een van de IP-adressen die aanwezig zijn in de IOC-lijst in de blog.
Organisaties kunnen ook het commando “show memory region | include lina” om een ander IOC te identificeren. “Als de uitvoer meer dan één uitvoerbare geheugenregio aangeeft … vooral als een van deze geheugensecties precies 0x1000 bytes groot is, dan is dit een teken van mogelijke manipulatie”, schreef Cisco Talos.
En Cisco heeft twee reeksen stappen geleverd die netwerkbeheerders kunnen nemen om de ArcaneDoor persistentie achterdeur Line Runner op een ASA-apparaat te identificeren en te verwijderen zodra de patch is toegepast. De eerste is het uitvoeren van een beoordeling van de inhoud van disk0; als er een nieuw bestand (bijvoorbeeld “client_bundle_install.zip” of een ander ongebruikelijk .zip-bestand) op de schijf verschijnt, betekent dit dat Line Runner aanwezig was, maar niet langer actief is vanwege de update.
Beheerders kunnen ook een reeks opdrachten volgen, op voorwaarde dat er een onschadelijk bestand met de extensie .zip wordt aangemaakt dat door de ASA wordt gelezen bij het opnieuw opstarten. Als het op disk0 verschijnt, betekent dit dat Line Runner waarschijnlijk aanwezig was op het betreffende apparaat. Beheerders kunnen vervolgens het bestand “client_bundle_install.zip” verwijderen om de achterdeur te verwijderen.
Als beheerders een nieuw gemaakt ZIP-bestand op hun ASA-apparaten vinden, moeten ze dat bestand van het apparaat kopiëren en een e-mail sturen [e-mail beveiligd] met behulp van een verwijzing naar CVE-2024-20359 en inclusief de uitvoer van de opdrachten “dir disk0:” en “show versie” van het apparaat, evenals het .zip-bestand dat ze hebben uitgepakt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
