Sponsorowany przez państwo ugrupowanie cyberprzestępcze wykorzystało dwie luki dnia zerowego Cisco w urządzeniach zapory sieciowej, aby w ramach globalnej kampanii cyberszpiegowskiej zaatakować obwód sieci rządowych za pomocą dwóch niestandardowych tylnych drzwi.
Kampania nazwana „ArcaneDoor” prowadzona przez nieznanego wcześniej aktora – którą badacze z Cisco Talos śledzą jako UAT4356 – jest skierowana do urządzeń firewall Cisco Adaptive Security Appliance (ASA) kilku klientów Cisco co najmniej od grudnia 2023 r., badacze Cisco Talos ujawnił w poście na blogu.
Chociaż początkowy wektor dostępu aktora pozostaje nieznany, gdy już to nastąpi, UAT4356 wykorzystał „wyrafinowany łańcuch ataków” obejmujący wykorzystanie dwóch luk — lukę typu „odmowa usługi” śledzoną jako CVE-2024-20353 oraz utrzymująca się lokalna wada wykonania śledzona jako CVE-2024-20359 które od tego czasu został załatany — w celu wszczepiania złośliwego oprogramowania i wykonywania poleceń niewielkiej grupie klientów Cisco. Cisco Talos zauważył także trzecią wadę w ASA, CVE-2024-20358, który nie był używany w kampanii ArcaneDoor.
Badacze znaleźli również dowody na to, że aktor jest zainteresowany urządzeniami firmy Microsoft i innych dostawców i potencjalnie będzie je atakował, dlatego niezwykle istotne jest, aby organizacje zadbały o to, aby wszystkie urządzenia peryferyjne „były odpowiednio poprawione, logowały się do centralnej, bezpiecznej lokalizacji i były skonfigurowane pod kątem silnych zabezpieczeń”. uwierzytelnianie wieloskładnikowe (MFA)” – napisał Cisco Talos w poście.
Niestandardowe złośliwe oprogramowanie typu backdoor dla rządów na całym świecie
Pierwsza oznaka podejrzanej aktywności w ramach kampanii pojawiła się na początku 2024 r., kiedy klient skontaktował się z zespołem reagowania na incydenty związane z bezpieczeństwem produktów (PSIRT) i Cisco Talos firmy Cisco w sprawie problemów związanych z bezpieczeństwem urządzeń firewall ASA.
Kolejne kilkumiesięczne dochodzenie przeprowadzone przez Cisco i partnerów wywiadowczych ujawniło infrastrukturę kontrolowaną przez podmioty zagrażające z początku listopada 2023 r. Większość ataków – z których wszystkie były wymierzone w sieci rządowe na całym świecie – miała miejsce w okresie od grudnia do początku stycznia. Istnieją również dowody na to, że aktor — którego Microsoft obecnie również określa jako STORM-1849 — testował i rozwijał swoje możliwości już w lipcu ubiegłego roku.
Głównym ładunkiem tej kampanii są dwa niestandardowe backdoory — „Line Dancer” i „Line Runner” — które zostały wspólnie wykorzystane przez UAT4356 do prowadzenia szkodliwych działań w sieci, takich jak konfiguracja i modyfikacja; rekonesans; przechwytywanie/eksfiltracja ruchu sieciowego; i potencjalnie ruch boczny.
Line Dancer to rezydujący w pamięci interpreter kodu powłoki, który umożliwia przeciwnikom przesyłanie i wykonywanie dowolnych ładunków kodu powłoki. W ramach kampanii Cisco Talos zaobserwował, że złośliwe oprogramowanie jest wykorzystywane do wykonywania różnych poleceń na urządzeniu ASA, w tym: wyłączania dziennika syslog; uruchamianie i eksfiltracja polecenia pokaż konfigurację; tworzenie i eksfiltracja przechwytywania pakietów; i wykonywanie poleceń zawartych w kodzie powłoki, między innymi.
Tymczasem Line Runner to mechanizm trwałości wdrożony na urządzeniu ASA wykorzystujący funkcjonalność związaną ze starszą funkcją, która umożliwiała wstępne ładowanie klientów VPN i wtyczek na urządzenie podczas uruchamiania, co można wykorzystać jako CVE-2024-20359, według Cisco Talosa. W co najmniej jednym przypadku ugrupowanie zagrażające również nadużyło CVE-2024-20353, aby ułatwić ten proces.
Według badaczy „osobom atakującym udało się wykorzystać tę lukę, aby spowodować ponowne uruchomienie docelowego urządzenia ASA, co spowodowało rozpakowanie i instalację” Line Runner.
Chroń obwód przed cyberatakami
Urządzenia peryferyjne, umieszczone na granicy wewnętrznej sieci organizacji a Internetem, „są idealnym punktem włamania w kampaniach ukierunkowanych na szpiegostwo”, zapewniając podmioty grożące według Cisco Talos jest to sposób na zdobycie punktu zaczepienia umożliwiającego „bezpośrednie przejście do organizacji, przekierowywanie lub modyfikowanie ruchu oraz monitorowanie komunikacji sieciowej w bezpiecznej sieci”.
Zero dni na tych urządzeniach stanowią szczególnie atrakcyjną powierzchnię ataku, zauważa Andrew Costis, kierownik oddziału zespołu ds. badań nad przeciwnikami w firmie testowej MITRE ATT&CK AtakIQ.
„Czasami byliśmy świadkami wykorzystywania krytycznych luk zero i n-day we wszystkich popularnych urządzeniach i oprogramowaniu zabezpieczającym” – mówi, odnotowując wcześniejsze ataki na błędy w urządzeniach firm Ivanti, Palo Alto Networks, I inne.
Według Cisco Talos zagrożenie dla tych urządzeń uwydatnia potrzebę „rutynowego i szybkiego” instalowania na nich poprawek przy użyciu aktualnych wersji i konfiguracji sprzętu i oprogramowania, a także ścisłego monitorowania ich bezpieczeństwa.
Organizacje powinny także skoncentrować się na TTP podmiotów zagrażających po włamaniu i testować znane zachowania przeciwnika w ramach „warstwowego podejścia” do operacji sieci defensywnej, twierdzi Costis.
Wykrywanie aktywności cyberataku ArcaneDoor
Wskaźniki kompromisu (IoC), których mogą szukać klienci, jeśli podejrzewają, że mogli stać się celem ArcaneDoor, obejmują wszelkie przepływy do/z urządzeń ASA na dowolny adres IP znajdujący się na liście IOC zawartej na blogu.
Organizacje mogą również wydać polecenie „pokaż region pamięci | dołącz linę”, aby zidentyfikować inny MKOl. „Jeśli dane wyjściowe wskazują więcej niż jeden wykonywalny obszar pamięci… zwłaszcza jeśli jedna z tych sekcji pamięci ma dokładnie 0x1000 bajtów, jest to oznaka potencjalnej manipulacji” – napisał Cisco Talos.
Ponadto firma Cisco udostępniła dwa zestawy kroków, które administratorzy sieci mogą podjąć w celu zidentyfikowania i usunięcia backdoora ArcaneDoor Line Runner utrzymującego się na urządzeniu ASA po zastosowaniu łatki. Pierwszym z nich jest przeprowadzenie przeglądu zawartości dysku0; jeśli na dysku pojawi się nowy plik (np. „client_bundle_install.zip” lub inny nietypowy plik .zip), oznacza to, że Line Runner był obecny, ale nie jest już aktywny z powodu aktualizacji.
Administratorzy mogą również wykonać szereg poleceń, które utworzą nieszkodliwy plik z rozszerzeniem .zip, który zostanie odczytany przez ASA przy ponownym uruchomieniu. Jeśli pojawi się na dysku0, oznacza to, że Line Runner prawdopodobnie był obecny na danym urządzeniu. Administratorzy mogą następnie usunąć plik „client_bundle_install.zip”, aby usunąć backdoora.
Jeśli administratorzy znajdą nowo utworzony plik .zip na swoich urządzeniach ASA, powinni skopiować go z urządzenia i wysłać e-mailem [email chroniony] używając odniesienia do CVE-2024-20359 i włączając dane wyjściowe poleceń „dir disc0:” i „showversion” z urządzenia, a także wyodrębniony plik .zip.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
