Спонсорований державою суб’єкт загрози використав дві вразливості нульового дня Cisco в брандмауерах, щоб атакувати периметр державних мереж за допомогою двох спеціально створених бекдорів у рамках глобальної кампанії кібершпигунства.

Кампанія під назвою «ArcaneDoor» раніше невідомого актора, якого дослідники з Cisco Talos відслідковують як UAT4356, націлена на пристрої брандмауера Cisco Adaptive Security Appliance (ASA) кількох клієнтів Cisco принаймні з грудня 2023 року, дослідники Cisco Talos. виявлено у своєму блозі.

Хоча початковий вектор доступу актора залишається невідомим, як тільки це відбувається, UAT4356 використав «складний ланцюжок атак», що включає використання двох вразливостей — недоліку відмови в обслуговуванні, який відстежується як CVE-2024-20353 і постійна локальна помилка виконання, яка відстежується як CVE-2024-20359 що з тих пір виправлено — імплантувати зловмисне програмне забезпечення та виконувати команди невеликій групі клієнтів Cisco. Cisco Talos також помітила третю помилку в ASA, CVE-2024-20358, який не використовувався в кампанії ArcaneDoor.

Дослідники також знайшли докази того, що актор зацікавлений і потенційно буде атакувати пристрої від Microsoft та інших постачальників, що робить вкрай важливим, щоб організації переконалися, що всі пристрої периметра «належним чином виправлені, реєструються в центральному безпечному місці та налаштовані на надійну роботу». багатофакторна автентифікація (MFA)», — написала Cisco Talos у дописі.

Спеціальне шкідливе програмне забезпечення для бекдорів для глобальних урядів

Перші ознаки підозрілої активності в кампанії з’явилися на початку 2024 року, коли клієнт звернувся до групи реагування на інциденти безпеки продуктів Cisco (PSIRT) і Cisco Talos щодо проблем із безпекою пристроїв брандмауера ASA.

Подальше кількамісячне розслідування, проведене Cisco та партнерами з розвідки, виявило контрольовану загрозою інфраструктуру, що датується початком листопада 2023 року. Більшість атак — усі вони були націлені на урядові мережі по всьому світу — відбулися в період з грудня по початок січня. Також є докази того, що актор, якого Microsoft також зараз відстежує як STORM-1849, тестував і розвивав свої можливості ще в липні минулого року.

Основним корисним навантаженням кампанії є два користувальницькі бекдори — «Line Dancer» і «Line Runner», — які UAT4356 використовував разом для здійснення зловмисних дій у мережі, таких як налаштування та модифікація; розвідка; захоплення/вилучення мережевого трафіку; і потенційно бічний рух.  

Line Dancer — це резидентний інтерпретатор шелл-коду, який дозволяє зловмисникам завантажувати та виконувати довільні корисні навантаження шелл-коду. Під час кампанії Cisco Talos спостерігала за використанням зловмисного програмного забезпечення для виконання різних команд на пристрої ASA, зокрема: відключення системного журналу; запуск і ексфільтрація команди show configuration; створення та ексфільтрація захоплених пакетів; і виконання команд, присутніх у шелл-коді, серед інших дій.

У той же час Line Runner — це механізм постійного збереження, розгорнутий на пристрої ASA з використанням функцій, пов’язаних із застарілою можливістю, яка дозволяла попереднє завантаження VPN-клієнтів і плагінів на пристрої під час завантаження, які можна використовувати як CVE-2024-20359, згідно з Cisco. Талос. Принаймні в одному випадку зловмисник також використав CVE-2024-20353, щоб полегшити цей процес.

За словами дослідників, «зловмисники змогли використати цю вразливість, щоб перезавантажити цільовий пристрій ASA, що призвело до розпакування та встановлення» Line Runner.

Захистіть периметр від кібератак

Пристрої периметра, які знаходяться на межі між внутрішньою мережею організації та Інтернетом, «є ідеальною точкою проникнення для кампаній, орієнтованих на шпигунство», забезпечуючи актори загроз За словами Cisco Talos, це спосіб закріпитися для «безпосереднього переходу в організацію, перенаправлення або модифікації трафіку та моніторингу мережевих комунікацій у захищеній мережі».

Нульові дні на цих пристроях є особливо привабливою поверхнею для атаки на цих пристроях, зазначає Ендрю Костіс, керівник відділу дослідницької групи протидії тестової фірми MITRE ATT&CK AttackIQ.

«Ми знову і знову бачили критичні нульові та n-денні вразливості, які використовувалися всіма стандартними засобами безпеки та програмним забезпеченням», — каже він, згадуючи попередні атаки на помилки в пристроях з Іванті, Palo Alto NetworksІ інші.

Згідно з Cisco Talos, загроза для цих пристроїв підкреслює необхідність для організацій «регулярно та оперативно» встановлювати на них патчі, використовуючи найновіші версії та конфігурації апаратного та програмного забезпечення, а також підтримувати ретельний моніторинг безпеки.

Організаціям також слід зосередитися на посткомпромісних TTP суб’єктів загрози та перевірити відому поведінку супротивників у рамках «рівневого підходу» до захисних мережевих операцій, каже Костіс.

Виявлення кібератак ArcaneDoor

Індикатори компрометації (IoC), які клієнти можуть шукати, якщо підозрюють, що ArcaneDoor їх атакував, включають будь-які потоки до/з пристроїв ASA на будь-яку з IP-адрес, присутніх у списку IOC, включеному в блог.

Організації також можуть видати команду «показати область пам’яті | include lina» для ідентифікації іншого IOC. «Якщо вихідні дані вказують на більш ніж одну область виконуваної пам’яті… особливо якщо один із цих розділів пам’яті має рівно 0x1000 байт, то це є ознакою потенційного втручання», — написав Cisco Talos.  

Крім того, Cisco надала два набори кроків, які мережеві адміністратори можуть виконати, щоб ідентифікувати та видалити постійний бекдор Line Runner ArcaneDoor на пристрої ASA після застосування патча. Перший - провести перегляд вмісту disk0; якщо на диску з’являється новий файл (наприклад, “client_bundle_install.zip” або будь-який інший незвичний файл .zip), це означає, що Line Runner був присутній, але більше не активний через оновлення.

Адміністратори також можуть виконувати низку команд, за умови створення нешкідливого файлу з розширенням .zip, який буде прочитано ASA під час перезавантаження. Якщо він з’являється на disk0, це означає, що Line Runner, ймовірно, був присутній на цьому пристрої. Після цього адміністратори можуть видалити файл «client_bundle_install.zip», щоб видалити бекдор.

Якщо адміністратори знаходять щойно створений файл .zip на своїх пристроях ASA, вони повинні скопіювати цей файл із пристрою та надіслати електронною поштою [захищено електронною поштою] використовуючи посилання на CVE-2024-20359 і включаючи результати команд «dir disk0:» і «показати версію» з пристрою, а також файл .zip, який вони витягли.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign