Um ator de ameaça patrocinado pelo Estado explorou duas vulnerabilidades de dia zero da Cisco em dispositivos de firewall para atingir o perímetro de redes governamentais com dois backdoors personalizados, em uma campanha global de espionagem cibernética.

Apelidada de “ArcaneDoor”, a campanha do ator até então desconhecido – que os pesquisadores do Cisco Talos rastreiam como UAT4356 – tem como alvo dispositivos de firewall Cisco Adaptive Security Appliance (ASA) de vários clientes da Cisco desde pelo menos dezembro de 2023, pesquisadores do Cisco Talos revelou em um post de blog.

Embora o vetor de acesso inicial do ator permaneça desconhecido, uma vez ocorrido, o UAT4356 usou uma “cadeia de ataque sofisticada” envolvendo a exploração das duas vulnerabilidades – uma falha de negação de serviço rastreada como CVE-2024-20353 e uma falha persistente de execução local rastreada como CVE-2024-20359 que desde então foi corrigido — para implantar malware e executar comandos em um pequeno grupo de clientes Cisco. Cisco Talos também sinalizou uma terceira falha no ASA, CVE-2024-20358, que não foi usado na campanha ArcaneDoor.

Os pesquisadores também encontraram evidências de que o ator tem interesse e potencialmente atacará dispositivos da Microsoft e de outros fornecedores, tornando crucial que as organizações garantam que todos os dispositivos de perímetro “estejam devidamente corrigidos, registrados em um local central e seguro e configurados para ter forte autenticação multifator (MFA)”, escreveu Cisco Talos no post.

Malware backdoor personalizado para governos globais

O primeiro sinal de atividade suspeita na campanha ocorreu no início de 2024, quando um cliente entrou em contato com a equipe de resposta a incidentes de segurança de produtos (PSIRT) da Cisco e com o Cisco Talos sobre questões de segurança com seus dispositivos de firewall ASA.

Uma investigação subsequente de vários meses, conduzida pela Cisco e parceiros de inteligência, descobriu infraestruturas controladas por atores de ameaças que remontam ao início de novembro de 2023. A maioria dos ataques – todos direcionados a redes governamentais em todo o mundo – ocorreu entre dezembro e início de janeiro. Há também evidências de que o ator – que a Microsoft também está rastreando como STORM-1849 – estava testando e desenvolvendo sua capacidade já em julho passado.

As principais cargas da campanha são dois backdoors personalizados – “Line Dancer” e “Line Runner” – que foram usados ​​juntos pelo UAT4356 para conduzir atividades maliciosas na rede, como configuração e modificação; reconhecimento; captura/exfiltração de tráfego de rede; e movimento potencialmente lateral.  

Line Dancer é um interpretador de shellcode residente na memória que permite que adversários carreguem e executem cargas úteis de shellcode arbitrárias. Na campanha, o Cisco Talos observou o malware sendo usado para executar vários comandos em um dispositivo ASA, incluindo: desabilitar o syslog; executando e exfiltrando o comando show configuration; criação e exfiltração de capturas de pacotes; e executar comandos presentes no shellcode, entre outras atividades.

Enquanto isso, Line Runner é um mecanismo de persistência implantado no dispositivo ASA usando funcionalidade relacionada a um recurso legado que permitiu o pré-carregamento de clientes VPN e plug-ins no dispositivo durante a inicialização que pode ser explorado como CVE-2024-20359, de acordo com Cisco Talos. Em pelo menos um caso, o autor da ameaça também abusou do CVE-2024-20353 para facilitar este processo.

“Os invasores conseguiram aproveitar essa vulnerabilidade para fazer com que o dispositivo ASA alvo fosse reinicializado, desencadeando a descompactação e instalação” do Line Runner, de acordo com os pesquisadores.

Proteja o perímetro contra invasores cibernéticos

Os dispositivos de perímetro, que ficam na fronteira entre a rede interna de uma organização e a Internet, “são o ponto de intrusão perfeito para campanhas focadas em espionagem”, fornecendo atores de ameaças uma maneira de ganhar uma posição para “girar diretamente para uma organização, redirecionar ou modificar o tráfego e monitorar as comunicações de rede na rede segura, de acordo com Cisco Talos.

Dia zero nesses dispositivos são uma superfície de ataque especialmente atraente nesses dispositivos, observa Andrew Costis, líder do capítulo da equipe de pesquisa de adversários da empresa de testes MITRE ATT&CK QI de ataque.

“Temos visto repetidamente vulnerabilidades críticas de zero e n dias sendo exploradas com todos os principais dispositivos e softwares de segurança”, diz ele, observando ataques anteriores a bugs em dispositivos de Ivanti, Palo Alto Networks, E outros.

A ameaça a esses dispositivos destaca a necessidade de as organizações corrigi-los “rotineira e prontamente” usando versões e configurações atualizadas de hardware e software, bem como manter um monitoramento de segurança rigoroso deles, de acordo com Cisco Talos.

As organizações também devem se concentrar em TTPs pós-comprometimento de atores de ameaças e testar comportamentos conhecidos de adversários como parte de “uma abordagem em camadas” para operações de rede defensivas, diz Costis.

Detectando atividade de ataque cibernético ArcaneDoor

Os indicadores de comprometimento (IoCs) que os clientes podem procurar se suspeitarem que podem ter sido alvo do ArcaneDoor incluem quaisquer fluxos de/para dispositivos ASA para qualquer um dos endereços IP presentes na lista IOC incluída no blog.

As organizações também podem emitir o comando “show memory region | incluir lina” para identificar outro COI. “Se a saída indicar mais de uma região de memória executável… especialmente se uma dessas seções de memória tiver exatamente 0x1000 bytes, então isso é um sinal de possível violação”, escreveu Cisco Talos.  

E a Cisco forneceu dois conjuntos de etapas que os administradores de rede podem seguir para identificar e remover o backdoor Line Runner de persistência ArcaneDoor em um dispositivo ASA assim que o patch for aplicado. A primeira é realizar uma revisão do conteúdo do disco0; se um novo arquivo (por exemplo, “client_bundle_install.zip” ou qualquer outro arquivo .zip incomum) aparecer no disco, significa que o Line Runner estava presente, mas não está mais ativo devido à atualização.

Os administradores também podem seguir uma série de comandos fornecidos que criarão um arquivo inócuo com uma extensão .zip que será lido pelo ASA na reinicialização. Se aparecer no disco0, significa que provavelmente o Line Runner estava presente no dispositivo em questão. Os administradores podem então excluir o arquivo “client_bundle_install.zip” para remover o backdoor.

Se os administradores encontrarem um arquivo .zip recém-criado em seus dispositivos ASA, eles deverão copiar esse arquivo do dispositivo e enviar por e-mail [email protegido] usando uma referência a CVE-2024-20359 e incluindo as saídas dos comandos “dir disk0:” e “show version” do dispositivo, bem como o arquivo .zip que eles extraíram.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign