Cisco Zero-Days Anchor 'ArcaneDoor' Cyber Spionage Campaign

En statligt sponsrad hotaktör har utnyttjat två Cisco zero-day-sårbarheter i brandväggsenheter för att rikta in sig på omkretsen av statliga nätverk med två specialbyggda bakdörrar, i en global cyberspionagekampanj.

Kallad "ArcaneDoor", kampanjen av den tidigare okända skådespelaren - som forskare från Cisco Talos spårar som UAT4356 - har riktat in sig på Cisco Adaptive Security Appliance (ASA) brandväggsenheter från flera Cisco-kunder sedan åtminstone december 2023, säger Cisco Talos-forskare avslöjade i ett blogginlägg.

Medan skådespelarens initiala åtkomstvektor förblir okänd, när den väl inträffade, använde UAT4356 en "sofistikerad attackkedja" som involverade utnyttjande av de två sårbarheterna - ett överbelastningsfel som spåras som CVE-2024-20353 och ett ihållande lokalt exekveringsfel spåras som CVE-2024-20359 som har sedan dess blivit lappad — att implantera skadlig programvara och utföra kommandon över en liten uppsättning Cisco-kunder. Cisco Talos flaggade också för ett tredje fel i ASA, CVE-2024-20358, som inte användes i ArcaneDoor-kampanjen.

Forskarna fann också bevis för att skådespelaren har intresse för och potentiellt kommer att attackera enheter från Microsoft och andra leverantörer, vilket gör det avgörande att organisationer ser till att alla perimeterenheter "är korrekt patchade, loggar till en central, säker plats och konfigureras för att ha starka multifactor authentication (MFA)", skrev Cisco Talos i inlägget.

Anpassad bakdörrsmalware för globala myndigheter

Det första tecknet på misstänkt aktivitet i kampanjen kom i början av 2024 när en kund kontaktade Ciscos Product Security Incident Response Team (PSIRT) och Cisco Talos angående säkerhetsproblem med sina ASA-brandväggsenheter.

En efterföljande flera månader lång utredning utförd av Cisco och underrättelsepartners avslöjade hotaktörskontrollerad infrastruktur som går tillbaka till början av november 2023. De flesta av attackerna – som alla var inriktade på statliga nätverk globalt – inträffade mellan december och början av januari. Det finns också bevis för att skådespelaren – som Microsoft nu också spårar som STORM-1849 – testade och utvecklade sin förmåga så tidigt som i juli förra året.

Kampanjens primära nyttolaster är två anpassade bakdörrar - "Line Dancer" och "Line Runner" - som användes tillsammans av UAT4356 för att utföra skadliga aktiviteter på nätverket, såsom konfiguration och modifiering; spaning; infångning/exfiltrering av nätverkstrafik; och potentiellt rörelse i sidled.

Line Dancer är en minnesbaserad skalkodtolkare som gör det möjligt för motståndare att ladda upp och exekvera godtyckliga skalkodsnyttolaster. I kampanjen observerade Cisco Talos att skadlig programvara användes för att utföra olika kommandon på en ASA-enhet, inklusive: inaktivera sysloggen; köra och exfiltrera kommandot show-konfiguration; skapa och exfiltrera paketfångningar; och exekvera kommandon som finns i skalkoden, bland andra aktiviteter.

Line Runner är samtidigt en uthållighetsmekanism som är utplacerad på ASA-enheten med funktionalitet relaterad till en äldre kapacitet som möjliggjorde förladdning av VPN-klienter och plugins på enheten under uppstart som kan utnyttjas som CVE-2024-20359, enligt Cisco Talos. I åtminstone ett fall missbrukade hotaktören även CVE-2024-20353 för att underlätta denna process.

"Angriparna kunde utnyttja denna sårbarhet för att få mål-ASA-enheten att starta om, vilket utlöste uppackning och installation" av Line Runner, enligt forskarna.

Skydda omkretsen från cyberangripare

Perimeterenheter, som sitter i utkanten mellan en organisations interna nätverk och internet, "är den perfekta intrångspunkten för spionagefokuserade kampanjer", ger hotaktörer ett sätt att få fotfäste att "direkt svänga in i en organisation, dirigera om eller ändra trafik och övervaka nätverkskommunikation till det säkra nätverket, enligt Cisco Talos.

Noll dagar på dessa enheter är en särskilt attraktiv attackyta på dessa enheter, konstaterar Andrew Costis, kapitelledare för Adversary Research Team på MITER ATT&CKs testföretag AttackIQ.

"Vi har gång på gång sett kritiska noll- och n-dagars sårbarheter utnyttjas med alla vanliga säkerhetsapparater och mjukvara", säger han och noterar tidigare attacker mot buggar i enheter från Ivanti, Palo Alto Networks, och andra.

Hotet mot dessa enheter belyser behovet för organisationer att "rutinmässigt och snabbt" lappa dem med hjälp av uppdaterade hårdvaru- och mjukvaruversioner och konfigurationer, samt upprätthålla noggrann säkerhetsövervakning av dem, enligt Cisco Talos.

Organisationer bör också fokusera på post-komprometterade TTP:er för hotaktörer och testa kända motståndarbeteenden som en del av "en skiktad strategi" för defensiva nätverksoperationer, säger Costis.

Upptäcker ArcaneDoor Cyberattack-aktivitet

Indikatorer på kompromisser (IoC) som kunder kan leta efter om de misstänker att de kan ha blivit måltavla av ArcaneDoor inkluderar eventuella flöden till/från ASA-enheter till någon av IP-adresserna som finns i IOC-listan som ingår i bloggen.

Organisationer kan också utfärda kommandot "visa minnesregion | inkluderar lina” för att identifiera en annan IOC. "Om utdata indikerar mer än en körbar minnesregion ... speciellt om en av dessa minnessektioner är exakt 0x1000 byte, så är detta ett tecken på potentiell manipulering," skrev Cisco Talos.

Och Cisco tillhandahöll två uppsättningar steg som nätverksadministratörer kan vidta för att identifiera och ta bort ArcaneDoor persistens backdoor Line Runner på en ASA-enhet när patchen har applicerats. Det första är att göra en granskning av innehållet i disk0; om en ny fil (t.ex. "client_bundle_install.zip" eller någon annan ovanlig .zip-fil) dyker upp på disken betyder det att Line Runner har varit närvarande men inte längre är aktiv på grund av uppdateringen.

Administratörer kan också följa en serie kommandon som skapar en oskadlig fil med filtillägget .zip som läses av ASA vid omstart. Om det visas på disk0 betyder det att Line Runner sannolikt fanns på enheten i fråga. Administratörer kan sedan ta bort filen "client_bundle_install.zip" för att ta bort bakdörren.

Om administratörer hittar en nyskapad .zip-fil på sina ASA-enheter ska de kopiera den filen från enheten och skicka e-post [e-postskyddad] med hjälp av en referens till CVE-2024-20359 och inklusive utdata från kommandona "dir disk0:" och "show version" från enheten, såväl som .zip-filen som de extraherade.

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign

Generativ dataintelligens

Cisco Zero-Days Anchor "ArcaneDoor" cyberspionagekampanj

Anpassad bakdörrsmalware för globala myndigheter

Skydda omkretsen från cyberangripare

Upptäcker ArcaneDoor Cyberattack-aktivitet

FG planerar att implementera strikta regler för 57 miljarder dollar kryptoföretag i Operation Rescue Naira – CryptoInfoNet

JBM Healthcare utfärdar positiv vinstvarning

Senaste intelligens

Rapport: Bitget, Native Token BGB trivs under Q1 2024 | BitPinas

Ny global valuta utformad för att kasta bort amerikanska dollar, avvärja sanktioner som dyker upp när BRICS-ledare förbereder sig för att mötas: Rapport – The Daily Hodl

8 viktiga handelsstrategier för investerare i kryptovaluta – CryptoInfoNet

Solana planerade att etablera sig som "tredje större kryptotillgång" efter Bitcoin och Ethereum: Franklin Templeton - The Daily Hodl

BDAG avslöjar kryptobetalningsalternativ, över Aave & The Graph

BlockDAG: 2024 Forbes Leak & The Enigma Behind – Kommer det att stiga? Oavsiktlig exponering

Chatta med oss