Спонсируемый государством злоумышленник воспользовался двумя уязвимостями нулевого дня Cisco в межсетевых экранах, чтобы атаковать периметр правительственных сетей с помощью двух специально созданных бэкдоров в рамках глобальной кампании кибершпионажа.

Кампания, получившая название ArcaneDoor, проводимая ранее неизвестным субъектом, которую исследователи из Cisco Talos отслеживают как UAT4356, нацелена на устройства межсетевых экранов Cisco Adaptive Security Appliance (ASA) нескольких клиентов Cisco, по крайней мере, с декабря 2023 года, говорят исследователи Cisco Talos. показал, в своем блоге.

Хотя первоначальный вектор доступа злоумышленника остается неизвестным, как только он произошел, UAT4356 использовал «сложную цепочку атак», включающую использование двух уязвимостей — уязвимость типа «отказ в обслуживании», отслеживаемую как CVE-2024-20353 и постоянная ошибка локального выполнения, отслеживаемая как CVE-2024-20359 которые с тех пор был исправлен — для внедрения вредоносного ПО и выполнения команд небольшой группе клиентов Cisco. Cisco Talos также отметила третий недостаток в ASA. CVE-2024-20358, который не использовался в кампании ArcaneDoor.

Исследователи также обнаружили доказательства того, что злоумышленник заинтересован и потенциально будет атаковать устройства Microsoft и других поставщиков, поэтому крайне важно, чтобы организации гарантировали, что все устройства периметра «надлежащим образом исправлены, регистрируются в центральном безопасном месте и настроены для надежной защиты». многофакторная аутентификация (MFA)», — написал Cisco Talos в своем сообщении.

Специальное вредоносное ПО с бэкдором для правительств стран мира

Первый признак подозрительной активности в рамках кампании появился в начале 2024 года, когда клиент обратился в группу реагирования на инциденты безопасности продуктов Cisco (PSIRT) и Cisco Talos по поводу проблем безопасности, связанных с его устройствами межсетевого экрана ASA.

Последующее несколько месяцев расследование, проведенное Cisco и партнерами по разведке, выявило инфраструктуру, контролируемую злоумышленниками, начиная с начала ноября 2023 года. Большинство атак — все они были нацелены на правительственные сети по всему миру — произошли в период с декабря по начало января. Есть также свидетельства того, что злоумышленник, которого Microsoft также теперь отслеживает как STORM-1849, тестировал и развивал свои возможности еще в июле прошлого года.

Основными полезными нагрузками кампании являются два специальных бэкдора — «Line Dancer» и «Line Runner», которые вместе использовались UAT4356 для проведения вредоносных действий в сети, таких как настройка и модификация; разведка; захват/эксфильтрация сетевого трафика; и потенциально боковое движение.  

Line Dancer — это резидентный в памяти интерпретатор шелл-кода, который позволяет злоумышленникам загружать и выполнять произвольные полезные данные шелл-кода. В ходе кампании Cisco Talos наблюдала, как вредоносное ПО использовалось для выполнения различных команд на устройстве ASA, включая: отключение системного журнала; запуск и удаление конфигурации команды show; создание и фильтрация перехваченных пакетов; и выполнение команд, присутствующих в шеллкоде, среди других действий.

Между тем, Line Runner — это механизм персистентности, развернутый на устройстве ASA с использованием функций, связанных с устаревшими возможностями, которые позволяют предварительно загружать VPN-клиенты и плагины на устройство во время загрузки, которые, по мнению Cisco, могут быть использованы как CVE-2024-20359. Талос. По крайней мере в одном случае злоумышленник также использовал CVE-2024-20353, чтобы облегчить этот процесс.

«Злоумышленники смогли воспользоваться этой уязвимостью, чтобы вызвать перезагрузку целевого устройства ASA, что привело к распаковке и установке» Line Runner, по словам исследователей.

Защитите периметр от кибератак

Устройства периметра, расположенные на границе между внутренней сетью организации и Интернетом, «являются идеальной точкой вторжения для шпионских кампаний», обеспечивая актеры угрозы По мнению Cisco Talos, это способ закрепиться, чтобы «непосредственно проникнуть в организацию, перенаправить или изменить трафик, а также отслеживать сетевые соединения в защищенной сети».

Нулевые дни Эти устройства представляют собой особенно привлекательную поверхность для атаки на эти устройства, отмечает Эндрю Костис, руководитель группы исследования вредоносных программ в испытательной фирме MITRE ATT&CK. АтакаIQ.

«Мы снова и снова видели критические уязвимости нулевого и n-дневного времени, которые использовались всеми основными устройствами и программным обеспечением безопасности», — говорит он, отмечая предыдущие атаки на ошибки в устройствах от Иванти, Palo Alto NetworksИ другие.

По мнению Cisco Talos, угроза этим устройствам подчеркивает необходимость того, чтобы организации «регулярно и оперативно» исправляли их, используя новейшие версии и конфигурации аппаратного и программного обеспечения, а также поддерживали тщательный мониторинг их безопасности.

По словам Костиса, организациям также следует сосредоточиться на TTP после компрометации злоумышленников и тестировать поведение известных противников в рамках «многоуровневого подхода» к защитным сетевым операциям.

Обнаружение активности кибератак ArcaneDoor

Индикаторы компрометации (IoC), на которые клиенты могут обратить внимание, если они подозревают, что они могли быть атакованы ArcaneDoor, включают в себя любые потоки в/из устройств ASA на любой из IP-адресов, представленных в списке IOC, включенном в блог.

Организации также могут ввести команду «показать область памяти | включить lina», чтобы идентифицировать другой МОК. «Если выходные данные указывают на более чем одну исполняемую область памяти… особенно если один из этих разделов памяти имеет размер ровно 0x1000 байт, то это признак потенциального вмешательства», — пишет Cisco Talos.  

Кроме того, Cisco предоставила два набора шагов, которые сетевые администраторы могут предпринять для выявления и удаления бэкдора ArcaneDoor Line Runner на устройстве ASA после применения исправления. Первый — провести просмотр содержимого disk0; если на диске появляется новый файл (например, «client_bundle_install.zip» или любой другой необычный файл .zip), это означает, что Line Runner присутствовал, но больше не активен из-за обновления.

Администраторы также могут выполнить ряд предоставленных команд, которые создадут безобидный файл с расширением .zip, который будет прочитан ASA при перезагрузке. Если он появляется на диске 0, это означает, что Line Runner, вероятно, присутствовал на рассматриваемом устройстве. Затем администраторы могут удалить файл «client_bundle_install.zip», чтобы удалить бэкдор.

Если администраторы обнаружат недавно созданный файл .zip на своих устройствах ASA, им следует скопировать этот файл с устройства и отправить его по электронной почте. [электронная почта защищена] используя ссылку на CVE-2024-20359 и включая выходные данные команд «dir disk0:» и «show version» с устройства, а также извлеченный ими файл .zip.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign