ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

แคมเปญจารกรรมทางไซเบอร์ 'ArcaneDoor' ของ Cisco Zero-Days Anchor

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

ผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐได้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day ของ Cisco สองตัวในอุปกรณ์ไฟร์วอลล์เพื่อกำหนดเป้าหมายขอบเขตเครือข่ายของรัฐบาลด้วยแบ็คดอร์สองตัวที่สร้างขึ้นเองในแคมเปญจารกรรมทางไซเบอร์ทั่วโลก

แคมเปญที่ได้รับการขนานนามว่า “ArcaneDoor” โดยนักแสดงที่ไม่รู้จักมาก่อน ซึ่งนักวิจัยจาก Cisco Talos ติดตามในชื่อ UAT4356 ได้กำหนดเป้าหมายไปที่อุปกรณ์ไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) ของลูกค้า Cisco หลายรายตั้งแต่อย่างน้อยเดือนธันวาคม 2023 นักวิจัยของ Cisco Talos เปิดเผย ในโพสต์บล็อก

ในขณะที่เวกเตอร์การเข้าถึงเริ่มต้นของนักแสดงยังไม่ทราบ แต่เมื่อเกิดขึ้น UAT4356 จะใช้ "ห่วงโซ่การโจมตีที่ซับซ้อน" ซึ่งเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ทั้งสอง - ข้อบกพร่องในการปฏิเสธการให้บริการที่ถูกติดตามเป็น CVE-2024-20353 และมีการติดตามข้อบกพร่องในการดำเนินการในเครื่องอย่างต่อเนื่อง CVE-2024-20359 ที่มีตั้งแต่นั้นเป็นต้นมา ได้รับการแพตช์แล้ว — เพื่อฝังมัลแวร์และดำเนินการคำสั่งกับลูกค้า Cisco กลุ่มเล็กๆ Cisco Talos ยังตั้งค่าสถานะข้อบกพร่องที่สามใน ASA CVE-2024-20358ซึ่งไม่ได้ใช้ในแคมเปญ ArcaneDoor

นักวิจัยยังพบหลักฐานที่แสดงว่านักแสดงมีความสนใจและมีแนวโน้มที่จะโจมตีอุปกรณ์จาก Microsoft และผู้จำหน่ายอื่นๆ ทำให้เป็นเรื่องสำคัญที่องค์กรจะต้องตรวจสอบให้แน่ใจว่าอุปกรณ์ในขอบเขตทั้งหมด “ได้รับการแพตช์อย่างเหมาะสม บันทึกไปยังตำแหน่งส่วนกลางที่ปลอดภัย และกำหนดค่าให้มีความแข็งแกร่ง การรับรองความถูกต้องแบบหลายปัจจัย (MFA)” Cisco Talos เขียนไว้ในโพสต์

มัลแวร์แบ็คดอร์แบบกำหนดเองสำหรับรัฐบาลทั่วโลก

สัญญาณแรกของกิจกรรมที่น่าสงสัยในแคมเปญนี้เกิดขึ้นเมื่อต้นปี 2024 เมื่อลูกค้าติดต่อทีม Product Security Incident Response Team (PSIRT) ของ Cisco และ Cisco Talos เกี่ยวกับข้อกังวลด้านความปลอดภัยกับอุปกรณ์ไฟร์วอลล์ ASA

การสืบสวนที่ใช้เวลานานหลายเดือนต่อมาที่ดำเนินการโดย Cisco และพันธมิตรด้านข่าวกรองได้เปิดเผยโครงสร้างพื้นฐานที่ควบคุมโดยผู้แสดงภัยคุกคามซึ่งมีอายุย้อนกลับไปตั้งแต่ต้นเดือนพฤศจิกายน 2023 การโจมตีส่วนใหญ่ ซึ่งทั้งหมดนี้มุ่งเป้าไปที่เครือข่ายรัฐบาลทั่วโลก เกิดขึ้นระหว่างเดือนธันวาคมถึงต้นเดือนมกราคม นอกจากนี้ยังมีหลักฐานว่านักแสดงซึ่งขณะนี้ Microsoft ติดตามในชื่อ STORM-1849 กำลังทดสอบและพัฒนาขีดความสามารถของตนเมื่อต้นเดือนกรกฎาคมปีที่แล้ว

เพย์โหลดหลักของแคมเปญคือแบ็คดอร์แบบกำหนดเองสองตัว ได้แก่ “Line Dancer” และ “Line Runner” ซึ่ง UAT4356 ใช้ร่วมกันเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนเครือข่าย เช่น การกำหนดค่าและการแก้ไข การลาดตระเวน; การจับ/การกรองการรับส่งข้อมูลเครือข่าย และอาจมีการเคลื่อนไหวด้านข้าง  

Line Dancer เป็นล่ามเชลล์โค้ดในหน่วยความจำที่ช่วยให้ฝ่ายตรงข้ามสามารถอัปโหลดและดำเนินการเพย์โหลดเชลล์โค้ดได้ตามใจชอบ ในแคมเปญ Cisco Talos สังเกตเห็นมัลแวร์ที่ใช้ในการรันคำสั่งต่างๆ บนอุปกรณ์ ASA รวมถึง: ปิดการใช้งาน syslog; การรันและการกรองคำสั่งแสดงการกำหนดค่า การสร้างและการกรองการจับแพ็กเก็ต และดำเนินการคำสั่งที่มีอยู่ในเชลล์โค้ด ท่ามกลางกิจกรรมอื่นๆ

ในขณะเดียวกัน Line Runner ก็เป็นกลไกการคงอยู่ที่ใช้งานบนอุปกรณ์ ASA โดยใช้ฟังก์ชันการทำงานที่เกี่ยวข้องกับความสามารถแบบเดิมที่อนุญาตให้โหลดไคลเอนต์ VPN และปลั๊กอินล่วงหน้าบนอุปกรณ์ระหว่างการบูทที่สามารถใช้เป็น CVE-2024-20359 ตาม Cisco ทาลอส. อย่างน้อยหนึ่งกรณี ผู้คุกคามยังใช้ CVE-2024-20353 ในทางที่ผิดเพื่ออำนวยความสะดวกในกระบวนการนี้

“ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำให้อุปกรณ์ ASA เป้าหมายรีบูต ทำให้เกิดการแตกไฟล์และติดตั้ง” ของ Line Runner ตามที่นักวิจัยระบุ

ปกป้องขอบเขตจากผู้โจมตีทางไซเบอร์

อุปกรณ์ในขอบเขตซึ่งอยู่ที่ขอบระหว่างเครือข่ายภายในขององค์กรและอินเทอร์เน็ต “เป็นจุดบุกรุกที่สมบูรณ์แบบสำหรับแคมเปญที่เน้นการจารกรรม” ตัวแสดงภัยคุกคาม วิธีในการตั้งหลักเพื่อ "หมุนเข้าสู่องค์กรโดยตรง เปลี่ยนเส้นทางหรือแก้ไขการรับส่งข้อมูล และตรวจสอบการสื่อสารเครือข่ายในเครือข่ายที่ปลอดภัย ตามข้อมูลของ Cisco Talos

ศูนย์วัน บนอุปกรณ์เหล่านี้เป็นพื้นผิวการโจมตีที่น่าดึงดูดเป็นพิเศษบนอุปกรณ์เหล่านี้ แอนดรูว์ คอสติส หัวหน้าบทของทีมวิจัยศัตรูของบริษัททดสอบ MITER ATT&CK กล่าว โจมตีไอคิว

“เราได้เห็นครั้งแล้วครั้งเล่าที่ช่องโหว่ระดับศูนย์และ n-day ที่ถูกเอารัดเอาเปรียบจากอุปกรณ์และซอฟต์แวร์รักษาความปลอดภัยกระแสหลักทั้งหมด” เขากล่าว โดยกล่าวถึงการโจมตีครั้งก่อนๆ ต่อจุดบกพร่องในอุปกรณ์จาก อิวานติ, พาโลอัลโตเครือข่ายและอื่น ๆ

ภัยคุกคามต่ออุปกรณ์เหล่านี้เน้นย้ำถึงความจำเป็นสำหรับองค์กรต่างๆ ในการแก้ไข "เป็นประจำและทันที" โดยใช้เวอร์ชันฮาร์ดแวร์และซอฟต์แวร์ที่ทันสมัย ​​และการกำหนดค่า ตลอดจนดูแลการตรวจสอบความปลอดภัยอย่างใกล้ชิด ตามข้อมูลของ Cisco Talos

องค์กรต่างๆ ควรให้ความสำคัญกับ TTP หลังการประนีประนอมของผู้ก่อภัยคุกคาม และทดสอบพฤติกรรมของฝ่ายตรงข้ามที่ทราบ ซึ่งเป็นส่วนหนึ่งของ “แนวทางแบบเป็นชั้น” เพื่อปฏิบัติการเครือข่ายเชิงป้องกัน Costis กล่าว

การตรวจจับกิจกรรมการโจมตีทางไซเบอร์ ArcaneDoor

ตัวบ่งชี้การประนีประนอม (IoC) ที่ลูกค้าสามารถค้นหาได้หากพวกเขาสงสัยว่าพวกเขาอาจตกเป็นเป้าหมายโดย ArcaneDoor รวมถึงการไหลเข้า/จากอุปกรณ์ ASA ไปยังที่อยู่ IP ใด ๆ ที่มีอยู่ในรายการ IOC ที่รวมอยู่ในบล็อก

องค์กรยังสามารถออกคำสั่ง “แสดงขอบเขตหน่วยความจำ | รวม lina” เพื่อระบุ IOC อื่น “หากเอาต์พุตระบุว่ามีขอบเขตหน่วยความจำที่สามารถเรียกทำงานได้มากกว่าหนึ่งส่วน … โดยเฉพาะอย่างยิ่งหากส่วนหน่วยความจำส่วนใดส่วนหนึ่งมีขนาด 0x1000 ไบต์พอดี นี่อาจเป็นสัญญาณของการปลอมแปลงที่อาจเกิดขึ้น” Cisco Talos เขียน  

และ Cisco ได้จัดเตรียมขั้นตอนสองชุดที่ผู้ดูแลระบบเครือข่ายสามารถใช้เพื่อระบุและลบ Line Runner แบ็คดอร์ที่คงอยู่ของ ArcaneDoor บนอุปกรณ์ ASA เมื่อมีการใช้แพตช์ ประการแรกคือการดำเนินการตรวจสอบเนื้อหาของ disk0; หากมีไฟล์ใหม่ (เช่น “client_bundle_install.zip” หรือไฟล์ .zip ที่ผิดปกติอื่นๆ) ปรากฏบนดิสก์ แสดงว่าเคยมี Line Runner อยู่แต่ไม่ได้ใช้งานอีกต่อไปเนื่องจากการอัพเดต

ผู้ดูแลระบบยังสามารถปฏิบัติตามชุดคำสั่งที่ให้ไว้ซึ่งจะสร้างไฟล์ที่ไม่เป็นอันตรายซึ่งมีนามสกุล .zip ที่ ASA จะอ่านเมื่อรีบูต หากปรากฏบน disk0 แสดงว่ามีแนวโน้มว่า Line Runner จะปรากฏบนอุปกรณ์ดังกล่าว ผู้ดูแลระบบสามารถลบไฟล์ “client_bundle_install.zip” เพื่อลบประตูหลังได้

หากผู้ดูแลระบบพบไฟล์ .zip ที่สร้างขึ้นใหม่บนอุปกรณ์ ASA พวกเขาควรคัดลอกไฟล์นั้นออกจากอุปกรณ์และอีเมล [ป้องกันอีเมล] โดยใช้การอ้างอิงถึง CVE-2024-20359 และรวมถึงเอาต์พุตของคำสั่ง “dir disk0:” และ “show version” จากอุปกรณ์ รวมถึงไฟล์ .zip ที่แตกออกมา

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.

แชทกับเรา

สวัสดี! ฉันจะช่วยคุณได้อย่างไร?