En statsstøttet trusselaktør har utnyttet to Cisco zero-day-sårbarheter i brannmurenheter for å målrette perimeteren av offentlige nettverk med to spesialbygde bakdører, i en global cyberspionasjekampanje.

Kalt «ArcaneDoor», kampanjen til den tidligere ukjente skuespilleren – som forskere fra Cisco Talos sporer som UAT4356 – har målrettet Cisco Adaptive Security Appliance (ASA) brannmurenheter til flere Cisco-kunder siden minst desember 2023, sier Cisco Talos-forskere avslørt i et blogginnlegg.

Mens skuespillerens første tilgangsvektor forblir ukjent, brukte UAT4356 en "sofistikert angrepskjede" som involverte utnyttelse av de to sårbarhetene - en tjenestenektfeil sporet som CVE-2024-20353 og en vedvarende lokal utførelsesfeil spores som CVE-2024-20359 som har siden blitt lappet — å implantere skadelig programvare og utføre kommandoer på tvers av et lite sett med Cisco-kunder. Cisco Talos flagget også en tredje feil i ASA, CVE-2024-20358, som ikke ble brukt i ArcaneDoor-kampanjen.

Forskerne fant også bevis på at skuespilleren har interesse for og potensielt vil angripe enheter fra Microsoft og andre leverandører, noe som gjør det avgjørende at organisasjoner sørger for at alle perimeterenheter "er riktig lappet, logger til et sentralt, sikkert sted og konfigurert til å ha sterke multifaktorautentisering (MFA),» skrev Cisco Talos i innlegget.

Tilpasset bakdør skadelig programvare for globale myndigheter

Det første tegnet på mistenkelig aktivitet i kampanjen kom tidlig i 2024 da en kunde henvendte seg til Ciscos Product Security Incident Response Team (PSIRT) og Cisco Talos angående sikkerhetsproblemer med sine ASA-brannmurenheter.

En påfølgende flere måneder lang etterforskning utført av Cisco og etterretningspartnere avdekket trusselaktørkontrollert infrastruktur som dateres tilbake til begynnelsen av november 2023. De fleste angrepene – som alle var rettet mot offentlige nettverk globalt – fant sted mellom desember og begynnelsen av januar. Det er også bevis på at skuespilleren – som Microsoft også nå sporer som STORM-1849 – testet og utviklet sine evner så tidlig som i juli i fjor.

Kampanjens primære nyttelast er to tilpassede bakdører – «Line Dancer» og «Line Runner» – som ble brukt sammen av UAT4356 for å utføre ondsinnede aktiviteter på nettverket, for eksempel konfigurasjon og modifikasjon; rekognosering; fangst/eksfiltrering av nettverkstrafikk; og potensielt sideveis bevegelse.  

Line Dancer er en minnebasert shellcode-tolk som gjør det mulig for motstandere å laste opp og utføre vilkårlige shellcode-nyttelaster. I kampanjen observerte Cisco Talos skadelig programvare som ble brukt til å utføre forskjellige kommandoer på en ASA-enhet, inkludert: deaktivering av syslog; kjører og eksfiltrerer kommandoen show-konfigurasjon; opprette og eksfiltrere pakkefangst; og utførelse av kommandoer som finnes i skallkoden, blant andre aktiviteter.

Line Runner er i mellomtiden en utholdenhetsmekanisme utplassert på ASA-enheten ved å bruke funksjonalitet relatert til en eldre funksjon som muliggjorde forhåndslasting av VPN-klienter og plugins på enheten under oppstart som kan utnyttes som CVE-2024-20359, ifølge Cisco Talos. I minst ett tilfelle misbrukte trusselaktøren også CVE-2024-20353 for å lette denne prosessen.

"Angriperne var i stand til å utnytte denne sårbarheten til å få mål-ASA-enheten til å starte på nytt, og utløste utpakking og installasjon" av Line Runner, ifølge forskerne.

Beskytt omkretsen mot nettangripere

Perimeterenheter, som befinner seg i utkanten mellom en organisasjons interne nettverk og Internett, "er det perfekte inntrengningspunktet for spionasjefokuserte kampanjer," gir trusselaktører en måte å få fotfeste for å "svinge seg direkte inn i en organisasjon, omdirigere eller endre trafikk og overvåke nettverkskommunikasjon inn i det sikre nettverket, ifølge Cisco Talos.

Null dager på disse enhetene er en spesielt attraktiv angrepsoverflate på disse enhetene, bemerker Andrew Costis, kapittelleder for Adversary Research Team ved MITER ATT&CK testfirma AttackIQ.

"Vi har gang på gang sett kritiske null- og n-dagers sårbarheter bli utnyttet med alle de vanlige sikkerhetsapparater og programvare," sier han, og bemerker tidligere angrep på feil i enheter fra Ivanti, Palo Alto NetworksOg andre.

Trusselen mot disse enhetene fremhever behovet for organisasjoner å "rutinemessig og raskt" lappe dem ved hjelp av oppdaterte maskinvare- og programvareversjoner og konfigurasjoner, samt opprettholde tett sikkerhetsovervåking av dem, ifølge Cisco Talos.

Organisasjoner bør også fokusere på TTP-er etter kompromisser fra trusselaktører og teste kjent motstandsadferd som en del av "en lagdelt tilnærming" til defensive nettverksoperasjoner, sier Costis.

Oppdager ArcaneDoor Cyberattack-aktivitet

Indikatorer for kompromiss (IoCs) som kunder kan se etter hvis de mistenker at de kan ha blitt målrettet av ArcaneDoor inkluderer eventuelle strømmer til/fra ASA-enheter til noen av IP-adressene som finnes i IOC-listen inkludert i bloggen.

Organisasjoner kan også gi kommandoen "vis minneregion | inkludere lina" for å identifisere en annen IOC. "Hvis utdataene indikerer mer enn én kjørbar minneregion ... spesielt hvis en av disse minneseksjonene er nøyaktig 0x1000 byte, så er dette et tegn på potensiell tukling," skrev Cisco Talos.  

Og Cisco ga to sett med trinn som nettverksadministratorer kan ta for å identifisere og fjerne ArcaneDoor persistens backdoor Line Runner på en ASA-enhet når oppdateringen er installert. Den første er å gjennomføre en gjennomgang av innholdet på disk0; hvis en ny fil (f.eks. "client_bundle_install.zip" eller en annen uvanlig .zip-fil) vises på disken, betyr det at Line Runner hadde vært til stede, men ikke lenger er aktiv på grunn av oppdateringen.

Administratorer kan også følge en rekke kommandoer som vil lage en ufarlig fil med en .zip-utvidelse som vil bli lest av ASA ved omstart. Hvis det vises på disk0, betyr det at Line Runner sannsynligvis var til stede på den aktuelle enheten. Administratorer kan deretter slette «client_bundle_install.zip»-filen for å fjerne bakdøren.

Hvis administratorer finner en nyopprettet .zip-fil på ASA-enhetene sine, bør de kopiere den filen fra enheten og sende e-post [e-postbeskyttet] ved å bruke en referanse til CVE-2024-20359 og inkludere utdataene til kommandoene "dir disk0:" og "show version" fra enheten, samt .zip-filen som de pakket ut.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign