В новой кампании вредоносного ПО использовались две уязвимости нулевого дня в сетевом оборудовании Cisco для доставки пользовательских вредоносных программ и облегчения скрытого сбора данных в целевых средах.
Компания Cisco Talos, которая назвала эту активность ArcaneDoor, назвав ее делом рук ранее недокументированного сложного субъекта, спонсируемого государством, которого она отслеживает под именем UAT4356 (он же Storm-1849 от Microsoft).
"UAT4356 развернул два бэкдора в качестве компонентов этой кампании, "Line Runner" и "Line Dancer", которые использовались совместно для совершения вредоносных действий по цели, которые включали модификацию конфигурации, разведку, захват / эксфильтрацию сетевого трафика и, возможно, боковое перемещение", - сказал Талос.
Вторжения, которые были впервые обнаружены и подтверждены в начале января 2024 года, влекут за собой использование двух уязвимостей -
В то время как вторая уязвимость позволяет локальному злоумышленнику выполнять произвольный код с привилегиями root-уровня, для ее использования требуются привилегии уровня администратора. Рассмотренный вместе с CVE-2024-20353 и CVE-2024-20359 недостаток внедрения команд в том же устройстве (CVE-2024-20358, оценка CVSS: 6.0), который был обнаружен во время внутреннего тестирования безопасности.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило недостатки в свой каталог известных эксплуатируемых уязвимостей (KEV), требуя от федеральных агентств применить исправления, предоставленные поставщиком, к 1 мая 2024 года.
Точный начальный путь доступа, используемый для взлома устройств, в настоящее время неизвестен, хотя говорят, что UAT4356 начал подготовку к нему еще в июле 2023 года.
За успешным закреплением следует развертывание двух имплантатов Line Dancer и Line Runner, первый из которых представляет собой бэкдор в памяти, позволяющий злоумышленникам загружать и выполнять произвольные полезные данные шеллкода, включая отключение системных журналов и эксфильтрацию перехваченных пакетов.
Line Runner, с другой стороны, представляет собой постоянный Lua-имплантат на основе HTTP, установленный в Cisco Adaptive Security Appliance (ASA) за счет использования вышеупомянутых нулевых дней, что позволяет ему выживать при перезагрузках и обновлениях. Было замечено, что он использовался для получения информации, подготовленной Line Dancer.
"Есть подозрение, что Line Runner может присутствовать на скомпрометированном устройстве, даже если Line Dancer нет (например, в качестве постоянного бэкдора или когда затронутый ASA еще не получил полного оперативного внимания со стороны злоумышленников)", - говорится в совместном консультативном заключении, опубликованном агентствами кибербезопасности Австралии, Канады и Великобритании.
Говорят, что на каждом этапе атаки UAT4356 демонстрировал скрупулезное внимание к сокрытию цифровых следов и способность использовать сложные методы, чтобы избежать судебной экспертизы памяти и снизить шансы обнаружения, что способствует его изощренности и неуловимому характеру.
Это также предполагает, что субъекты угрозы имеют полное представление о внутренней работе самого ASA и о "судебных действиях, обычно выполняемых Cisco для проверки целостности сетевого устройства".
Точно, какая страна стоит за ArcaneDoor, неясно, однако как китайские, так и российские хакеры, поддерживаемые государством, в прошлом нацеливались на маршрутизаторы Cisco в целях кибершпионажа. Cisco Talos также не уточнила, сколько клиентов было скомпрометировано в результате этих атак.
Разработка еще раз подчеркивает повышенную нацеленность на периферийные устройства и платформы, такие как серверы электронной почты, брандмауэры и VPN, в которых традиционно отсутствуют решения для обнаружения конечных точек и реагирования (EDR), о чем свидетельствует недавняя серия атак, нацеленных на Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks и VMware.
"Сетевые устройства периметра являются идеальной точкой вторжения для кампаний, ориентированных на шпионаж", - сказал Талос.
"Поскольку эти устройства являются критическим путем для ввода данных в сеть и выхода из нее, их необходимо регулярно и оперативно исправлять; использовать современные версии оборудования и программного обеспечения и конфигурации; и за ними необходимо внимательно следить с точки зрения безопасности. Закрепление на этих устройствах позволяет злоумышленнику напрямую внедряться в организацию, перенаправлять или изменять трафик и контролировать сетевые коммуникации."
Компания Cisco Talos, которая назвала эту активность ArcaneDoor, назвав ее делом рук ранее недокументированного сложного субъекта, спонсируемого государством, которого она отслеживает под именем UAT4356 (он же Storm-1849 от Microsoft).
"UAT4356 развернул два бэкдора в качестве компонентов этой кампании, "Line Runner" и "Line Dancer", которые использовались совместно для совершения вредоносных действий по цели, которые включали модификацию конфигурации, разведку, захват / эксфильтрацию сетевого трафика и, возможно, боковое перемещение", - сказал Талос.
Вторжения, которые были впервые обнаружены и подтверждены в начале января 2024 года, влекут за собой использование двух уязвимостей -
- CVE-2024-20353 (оценка CVSS: 8,6) - Уязвимость Cisco Adaptive Security Appliance и Firepower Threat Defense Software для отказа в обслуживании веб-сервисов
- CVE-2024-20359 (оценка CVSS: 6.0) - Уязвимость Cisco Adaptive Security Appliance и Firepower Threat Defense Software При постоянном локальном выполнении кода
В то время как вторая уязвимость позволяет локальному злоумышленнику выполнять произвольный код с привилегиями root-уровня, для ее использования требуются привилегии уровня администратора. Рассмотренный вместе с CVE-2024-20353 и CVE-2024-20359 недостаток внедрения команд в том же устройстве (CVE-2024-20358, оценка CVSS: 6.0), который был обнаружен во время внутреннего тестирования безопасности.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило недостатки в свой каталог известных эксплуатируемых уязвимостей (KEV), требуя от федеральных агентств применить исправления, предоставленные поставщиком, к 1 мая 2024 года.
Точный начальный путь доступа, используемый для взлома устройств, в настоящее время неизвестен, хотя говорят, что UAT4356 начал подготовку к нему еще в июле 2023 года.
За успешным закреплением следует развертывание двух имплантатов Line Dancer и Line Runner, первый из которых представляет собой бэкдор в памяти, позволяющий злоумышленникам загружать и выполнять произвольные полезные данные шеллкода, включая отключение системных журналов и эксфильтрацию перехваченных пакетов.
Line Runner, с другой стороны, представляет собой постоянный Lua-имплантат на основе HTTP, установленный в Cisco Adaptive Security Appliance (ASA) за счет использования вышеупомянутых нулевых дней, что позволяет ему выживать при перезагрузках и обновлениях. Было замечено, что он использовался для получения информации, подготовленной Line Dancer.
"Есть подозрение, что Line Runner может присутствовать на скомпрометированном устройстве, даже если Line Dancer нет (например, в качестве постоянного бэкдора или когда затронутый ASA еще не получил полного оперативного внимания со стороны злоумышленников)", - говорится в совместном консультативном заключении, опубликованном агентствами кибербезопасности Австралии, Канады и Великобритании.
Говорят, что на каждом этапе атаки UAT4356 демонстрировал скрупулезное внимание к сокрытию цифровых следов и способность использовать сложные методы, чтобы избежать судебной экспертизы памяти и снизить шансы обнаружения, что способствует его изощренности и неуловимому характеру.
Это также предполагает, что субъекты угрозы имеют полное представление о внутренней работе самого ASA и о "судебных действиях, обычно выполняемых Cisco для проверки целостности сетевого устройства".
Точно, какая страна стоит за ArcaneDoor, неясно, однако как китайские, так и российские хакеры, поддерживаемые государством, в прошлом нацеливались на маршрутизаторы Cisco в целях кибершпионажа. Cisco Talos также не уточнила, сколько клиентов было скомпрометировано в результате этих атак.
Разработка еще раз подчеркивает повышенную нацеленность на периферийные устройства и платформы, такие как серверы электронной почты, брандмауэры и VPN, в которых традиционно отсутствуют решения для обнаружения конечных точек и реагирования (EDR), о чем свидетельствует недавняя серия атак, нацеленных на Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks и VMware.
"Сетевые устройства периметра являются идеальной точкой вторжения для кампаний, ориентированных на шпионаж", - сказал Талос.
"Поскольку эти устройства являются критическим путем для ввода данных в сеть и выхода из нее, их необходимо регулярно и оперативно исправлять; использовать современные версии оборудования и программного обеспечения и конфигурации; и за ними необходимо внимательно следить с точки зрения безопасности. Закрепление на этих устройствах позволяет злоумышленнику напрямую внедряться в организацию, перенаправлять или изменять трафик и контролировать сетевые коммуникации."
