Trí thông minh dữ liệu tạo

An ninh mạng

Chiến dịch gián điệp mạng 'ArcaneDoor' của Cisco Zero-Days

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Một kẻ đe dọa được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day của Cisco trong các thiết bị tường lửa để nhắm mục tiêu vào phạm vi mạng của chính phủ bằng hai cửa hậu được xây dựng tùy chỉnh, trong một chiến dịch gián điệp mạng toàn cầu.

Được mệnh danh là “ArcaneDoor”, chiến dịch của tác nhân chưa được biết đến trước đây — mà các nhà nghiên cứu từ Cisco Talos theo dõi là UAT4356 — đã nhắm mục tiêu vào các thiết bị tường lửa Cisco Adaptive Security Appliance (ASA) của một số khách hàng Cisco kể từ ít nhất là tháng 2023 năm XNUMX, các nhà nghiên cứu của Cisco Talos tiết lộ trong một bài viết trên blog.

Mặc dù vectơ truy cập ban đầu của tác nhân vẫn chưa được xác định, nhưng khi nó xảy ra, UAT4356 đã sử dụng một “chuỗi tấn công phức tạp” liên quan đến việc khai thác hai lỗ hổng — một lỗ hổng từ chối dịch vụ được theo dõi dưới dạng CVE-2024-20353 và một lỗ hổng thực thi cục bộ dai dẳng được theo dõi dưới dạng CVE-2024-20359 kể từ đó đã được vá — để cấy phần mềm độc hại và thực thi các lệnh trên một nhóm nhỏ khách hàng của Cisco. Cisco Talos cũng đánh dấu lỗ hổng thứ ba trong ASA, CVE-2024-20358, nó không được sử dụng trong chiến dịch ArcaneDoor.

Các nhà nghiên cứu cũng tìm thấy bằng chứng cho thấy kẻ tấn công quan tâm và có khả năng sẽ tấn công các thiết bị của Microsoft và các nhà cung cấp khác, điều quan trọng là các tổ chức phải đảm bảo rằng tất cả các thiết bị ngoại vi “được vá đúng cách, đăng nhập vào một vị trí trung tâm, an toàn và được định cấu hình để có khả năng hoạt động mạnh mẽ”. xác thực đa yếu tố (MFA),” Cisco Talos viết trong bài đăng.

Phần mềm độc hại cửa sau tùy chỉnh dành cho chính phủ toàn cầu

Dấu hiệu đầu tiên về hoạt động đáng ngờ trong chiến dịch này xuất hiện vào đầu năm 2024 khi một khách hàng liên hệ với Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của Cisco và Cisco Talos về những lo ngại về bảo mật với các thiết bị tường lửa ASA của họ.

Một cuộc điều tra kéo dài vài tháng sau đó do Cisco và các đối tác tình báo thực hiện đã phát hiện ra cơ sở hạ tầng do tác nhân đe dọa kiểm soát bắt đầu từ đầu tháng 2023 năm 1849. Hầu hết các cuộc tấn công — tất cả đều nhắm vào các mạng chính phủ trên toàn cầu — xảy ra từ tháng XNUMX đến đầu tháng XNUMX. Ngoài ra còn có bằng chứng cho thấy tác nhân – mà Microsoft hiện đang theo dõi là STORM-XNUMX – đã thử nghiệm và phát triển khả năng của nó ngay từ tháng XNUMX năm ngoái.

Trọng tải chính của chiến dịch là hai cửa hậu tùy chỉnh— “Line Dancer” và “Line Runner” — được UAT4356 sử dụng cùng nhau để thực hiện các hoạt động độc hại trên mạng, chẳng hạn như cấu hình và sửa đổi; trinh sát; thu thập/lọc lưu lượng mạng; và có khả năng chuyển động ngang.  

Line Dancer là một trình thông dịch shellcode lưu trữ trong bộ nhớ, cho phép đối thủ tải lên và thực thi các tải trọng shellcode tùy ý. Trong chiến dịch, Cisco Talos đã quan sát thấy phần mềm độc hại đang được sử dụng để thực thi các lệnh khác nhau trên thiết bị ASA, bao gồm: vô hiệu hóa nhật ký hệ thống; chạy và lọc cấu hình hiển thị lệnh; tạo và lọc các gói chụp; và thực thi các lệnh có trong shellcode, cùng với các hoạt động khác.

Trong khi đó, Line Runner là một cơ chế bền vững được triển khai trên thiết bị ASA sử dụng chức năng liên quan đến khả năng kế thừa cho phép tải trước các máy khách VPN và plugin trên thiết bị trong quá trình khởi động, có thể bị khai thác dưới dạng CVE-2024-20359, theo Cisco. Talos. Trong ít nhất một trường hợp, kẻ đe dọa cũng lạm dụng CVE-2024-20353 để tạo điều kiện thuận lợi cho quá trình này.

Theo các nhà nghiên cứu, “Những kẻ tấn công đã có thể lợi dụng lỗ hổng này để khiến thiết bị ASA mục tiêu khởi động lại, kích hoạt quá trình giải nén và cài đặt” Line Runner.

Bảo vệ vành đai khỏi những kẻ tấn công mạng

Các thiết bị ngoại vi, nằm ở ranh giới giữa mạng nội bộ của tổ chức và Internet, “là điểm xâm nhập hoàn hảo cho các chiến dịch tập trung vào hoạt động gián điệp”, cung cấp diễn viên đe dọa theo Cisco Talos, một cách để có được chỗ đứng để “trực tiếp chuyển hướng vào một tổ chức, định tuyến lại hoặc sửa đổi lưu lượng truy cập và giám sát hoạt động liên lạc của mạng vào mạng an toàn”.

Zero-ngày Andrew Costis, trưởng nhóm Nhóm nghiên cứu đối thủ tại công ty thử nghiệm MITER ATT&CK, lưu ý rằng trên các thiết bị này là một bề mặt tấn công đặc biệt hấp dẫn trên các thiết bị này. Tấn côngIQ.

Ông nói: “Chúng tôi đã nhiều lần chứng kiến ​​các lỗ hổng nghiêm trọng số 0 và số n ngày bị khai thác với tất cả các thiết bị và phần mềm bảo mật chính thống”. Ivanti, Palo Alto Networks, Và những người khác.

Theo Cisco Talos, mối đe dọa đối với các thiết bị này nêu bật nhu cầu các tổ chức phải vá chúng “thường xuyên và kịp thời” bằng cách sử dụng các phiên bản và cấu hình phần cứng và phần mềm cập nhật, cũng như duy trì giám sát an ninh chặt chẽ đối với chúng.

Costis cho biết, các tổ chức cũng nên tập trung vào TTP sau thỏa hiệp của các tác nhân đe dọa và kiểm tra các hành vi đối thủ đã biết như một phần của “cách tiếp cận theo lớp” đối với các hoạt động mạng phòng thủ.

Phát hiện hoạt động tấn công mạng ArcaneDoor

Các dấu hiệu xâm phạm (IoC) mà khách hàng có thể tìm kiếm nếu họ nghi ngờ mình có thể đã bị ArcaneDoor nhắm tới bao gồm mọi luồng đến/từ thiết bị ASA tới bất kỳ địa chỉ IP nào có trong danh sách IOC có trong blog.

Các tổ chức cũng có thể ra lệnh “hiển thị vùng bộ nhớ | bao gồm lina” để xác định một IOC khác. Cisco Talos viết: “Nếu đầu ra chỉ ra nhiều vùng bộ nhớ thực thi… đặc biệt nếu một trong những phần bộ nhớ này có kích thước chính xác là 0x1000 byte thì đây là dấu hiệu của sự giả mạo tiềm ẩn”.  

Ngoài ra, Cisco đã cung cấp hai bộ bước mà quản trị viên mạng có thể thực hiện để xác định và loại bỏ Line Runner cửa hậu kiên trì ArcaneDoor trên thiết bị ASA sau khi áp dụng bản vá. Đầu tiên là tiến hành xem xét nội dung của đĩa0; nếu một tệp mới (ví dụ: “client_bundle_install.zip” hoặc bất kỳ tệp .zip bất thường nào khác) xuất hiện trên đĩa, điều đó có nghĩa là Line Runner đã có mặt nhưng không còn hoạt động do bản cập nhật.

Quản trị viên cũng có thể làm theo một loạt lệnh được cung cấp để tạo một tệp vô hại có phần mở rộng .zip mà ASA sẽ đọc khi khởi động lại. Nếu nó xuất hiện trên đĩa0, điều đó có nghĩa là Line Runner có thể đã có mặt trên thiết bị được đề cập. Sau đó, quản trị viên có thể xóa tệp “client_bundle_install.zip” để xóa cửa hậu.

Nếu quản trị viên tìm thấy tệp .zip mới được tạo trên thiết bị ASA của họ, họ nên sao chép tệp đó ra khỏi thiết bị và gửi email [email được bảo vệ] bằng cách sử dụng tham chiếu đến CVE-2024-20359 và bao gồm đầu ra của lệnh “dir disk0:” và “show version” từ thiết bị, cũng như tệp .zip mà chúng đã trích xuất.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?