Nova kampanja protiv zlonamjernog softvera iskoristila je dvije nulte greške u Cisco mrežnoj opremi za isporuku prilagođenog zlonamjernog softvera i olakšala tajno prikupljanje podataka u ciljnim okruženjima.
Cisco Talos, koji je aktivnost nazvao ArcaneDoor , pripisujući je rukotvorinu prethodno nedokumentovanog sofisticiranog hakera sponzoriranog od strane države, kojeg prati pod imenom UAT4356 (poznatog kao Storm-1849 od Microsofta).
“UAT4356 je postavio dva backdoors-a kao komponente ove kampanje, ‘Line Runner’ i ‘Line Dancer’, koji su zajednički korišteni za izvođenje zlonamjernih radnji na meti, koje su uključivale modifikaciju konfiguracije, izviđanje, hvatanje/eksfiltraciju mrežnog prometa i potencijalno bočno kretanje, “ rekao je Talos .
Upadi, koji su prvi put otkriveni i potvrđeni početkom januara 2024. godine, podrazumijevaju iskorištavanje dvije ranjivosti:
- CVE-2024-20353 (CVSS rezultat: 8,6) – Cisco Adaptive Security Appliance i Firepower Threat Defense Software Ranjivost Web usluga u slučaju uskraćivanja usluge
- CVE-2024-20359 (CVSS rezultat: 6,0) – Cisco Adaptive Security Appliance i Firepower Odbrana od prijetnji softvera Ranjivost upornog lokalnog izvršavanja koda
Prva mana je eksploatacija nultog dana tehnika ili napad koji zlonamjerni haker koristi kako bi iskoristio nepoznatu sigurnosnu ranjivost kako bi dobio pristup sistemu.
Dok druga mana dozvoljava lokalnom napadaču da izvrši proizvoljan kod sa privilegijama na root nivou, potrebne su privilegije na nivou administratora da bi ga iskoristio. Uz CVE-2024-20353 i CVE-2024-20359 adresiran je nedostatak ubrizgavanja komande u istom uređaju ( CVE-2024-20358 , CVSS rezultat: 6,0) koji je otkriven tokom internog testiranja sigurnosti.
Američka agencija za cyber i infrastrukturnu sigurnost (CISA) dodala je nedostatke svom katalogu poznatih iskorištenih ranjivosti ( KEV ), zahtjevajući od saveznih agencija da primjene ispravke koje je dostavio proizvođač do 1. maja 2024.godine.
Tačan početni pristupni put korišten za probijanje uređaja trenutno je nepoznat, iako se kaže da je UAT4356 započeo pripreme za njega još u julu 2023.
Uspješno uporište je praćeno postavljanjem dva implantata pod nazivom Line Dancer i Line Runner.
Line Dancer je prvi backdoor u memoriji koji omogućava napadačima da učitaju i izvedu proizvoljni shellcode korisni sadržaj, uključujući onemogućavanje sistemskih dnevnika i eksfiltriranje hvatanja paketa.
Line Runner je uporan HTTP-bazirani Lua implant instaliran na Cisco Adaptive Security Appliance (ASA) korištenjem gore navedenih nula dana tako da može preživjeti nakon ponovnog pokretanja i nadogradnje. Primjećeno je da se koristi za dohvaćanje informacija koje je postavio Line Dancer.
“Sumnja se da Line Runner može biti prisutan na kompromitovanom uređaju čak i ako Line Dancer nije (npr. kao uporni backdoor, ili gdje pogođeni ASA još nije dobio punu operativnu pažnju od zlonamjernih hakera)”, prema zajednički savjet koji su objavile agencije za cyber sigurnost iz Australije, Kanade i Velike Britanije
U svakoj fazi napada, kaže se da je UAT4356 pokazao preciznu pažnju na skrivanje digitalnih otisaka i sposobnost da koristi zamršene metode kako bi izbjegao memorijsku forenziku i smanjio šanse za otkrivanje, doprinoseći njegovoj sofisticiranosti i neuhvatljivoj prirodi.
Ovo takođe sugeriše da hakeri imaju potpuno razumijevanje unutrašnjeg rada samog ASA-e i „forenzičkih radnji koje obično sprovodi Cisco za proveru integriteta mrežnih uređaja“.
Koja tačno država stoji iza ArcaneDoor-a nije jasno, međutim, i kineski i ruski hakeri koje podržava država su u prošlosti ciljali Cisco rutere u svrhe sajber špijunaže. Cisco Talos takođe nije precizirao koliko je klijenata kompromitovano u ovim napadima.
Razvoj još jednom naglašava povećano ciljanje rubnih uređaja i platformi kao što su serveri e-pošte, vatrozidovi i VPN-ovi kojima tradicionalno nedostaju rješenja za otkrivanje krajnjih tačaka i odgovor (EDR), o čemu svjedoči nedavni niz napada usmjerenih na Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks i VMware.
„Perimetarski mrežni uređaji savršena su tačka upada za kampanje usmjerene na špijunažu“, rekao je Talos.
“Kao kritičan put za podatke u mrežu i van nje, ovi uređaji moraju biti rutinski i promptno zakrpljeni; korištenjem najnovijih verzija i konfiguracija hardvera i softvera; i pažljivo praćeni iz sigurnosne perspektive. Sticanje uporišta na ovi uređaji omogućavaju hakeru da se direktno okrene u organizaciju, preusmjeri ili modificira promet i nadgleda mrežnu komunikaciju.”
Izvor:The Hacker News
