Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Бэкдор, внедренный на устройства Cisco путем использования пары ошибок нулевого дня в программном обеспечении IOS XE, был изменен субъектом угрозы, чтобы избежать видимости с помощью предыдущих методов снятия отпечатков пальцев.
"Исследование сетевого трафика, поступающего на скомпрометированное устройство, показало, что субъект угрозы обновил имплантат для выполнения дополнительной проверки заголовка", - сказали в команде Fox-IT NCC Group. "Таким образом, для многих устройств имплантат все еще активен, но теперь отвечает только в том случае, если установлен правильный HTTP-заголовок авторизации".
Атаки влекут за собой включение CVE-2023-20198 (оценка CVSS: 10.0) и CVE-2023-20273 (оценка CVSS: 7.2) в цепочку эксплойтов, которая предоставляет субъекту угрозы возможность получить доступ к устройствам, создать привилегированную учетную запись и в конечном итоге внедрить на устройствах имплантат на основе Lua.
Разработка началась после того, как Cisco начала выпускать обновления безопасности для устранения проблем, причем новые обновления появятся в пока нераскрытые сроки.
Точная личность субъекта угрозы, стоящего за кампанией, в настоящее время неизвестна, хотя количество затронутых устройств оценивается в тысячи, основываясь на данных, предоставленных VulnCheck и компанией Censys по управлению поверхностью атаки.
"Заражения выглядят как массовые взломы", - сказал The Hacker News Марк Эллзи, старший исследователь безопасности в Censys. "Может наступить время, когда хакеры проверят то, что у них есть, и выяснят, стоит ли что-нибудь чего-нибудь".
Однако количество скомпрометированных устройств резко за последние несколько дней, сократившись примерно с 40 000 до нескольких сотен, что приводит к предположениям о том, что, возможно, были внесены какие-то скрытые изменения, чтобы скрыть его присутствие.
Последние изменения в имплантате, обнаруженные Fox-IT, объясняют причину внезапного и резкого снижения, поскольку было обнаружено, что более 37 000 устройств все еще скомпрометированы с помощью имплантата.
Cisco, со своей стороны, подтвердила изменение в поведении в своих обновленных рекомендациях, предоставив команду curl, которая может быть выдана с рабочей станции для проверки наличия имплантата на устройствах -
"Если запрос возвращает шестнадцатеричную строку, такую как 0123456789abcdef01, имплантат присутствует", - отметила Cisco.
"Исследование сетевого трафика, поступающего на скомпрометированное устройство, показало, что субъект угрозы обновил имплантат для выполнения дополнительной проверки заголовка", - сказали в команде Fox-IT NCC Group. "Таким образом, для многих устройств имплантат все еще активен, но теперь отвечает только в том случае, если установлен правильный HTTP-заголовок авторизации".
Атаки влекут за собой включение CVE-2023-20198 (оценка CVSS: 10.0) и CVE-2023-20273 (оценка CVSS: 7.2) в цепочку эксплойтов, которая предоставляет субъекту угрозы возможность получить доступ к устройствам, создать привилегированную учетную запись и в конечном итоге внедрить на устройствах имплантат на основе Lua.
Разработка началась после того, как Cisco начала выпускать обновления безопасности для устранения проблем, причем новые обновления появятся в пока нераскрытые сроки.
Точная личность субъекта угрозы, стоящего за кампанией, в настоящее время неизвестна, хотя количество затронутых устройств оценивается в тысячи, основываясь на данных, предоставленных VulnCheck и компанией Censys по управлению поверхностью атаки.
"Заражения выглядят как массовые взломы", - сказал The Hacker News Марк Эллзи, старший исследователь безопасности в Censys. "Может наступить время, когда хакеры проверят то, что у них есть, и выяснят, стоит ли что-нибудь чего-нибудь".
Однако количество скомпрометированных устройств резко за последние несколько дней, сократившись примерно с 40 000 до нескольких сотен, что приводит к предположениям о том, что, возможно, были внесены какие-то скрытые изменения, чтобы скрыть его присутствие.
Последние изменения в имплантате, обнаруженные Fox-IT, объясняют причину внезапного и резкого снижения, поскольку было обнаружено, что более 37 000 устройств все еще скомпрометированы с помощью имплантата.
Cisco, со своей стороны, подтвердила изменение в поведении в своих обновленных рекомендациях, предоставив команду curl, которая может быть выдана с рабочей станции для проверки наличия имплантата на устройствах -
Code:
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1""Если запрос возвращает шестнадцатеричную строку, такую как 0123456789abcdef01, имплантат присутствует", - отметила Cisco.
