Компания Cisco сообщила о том, что с ноября 2023 года группа «правительственных хакеров» активно использует две уязвимости нулевого дня в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) для проникновения в государственные сети по всему миру.
Специалисты Cisco Talos ведут наблюдение за этой группой, которая получила идентификатор UAT4356, а в классификации Microsoft известна как STORM-1849. Начавшаяся в ноябре 2023 года шпионская кампания отслеживается экспертами под именем ArcaneDoor.
Информация о деятельности ArcaneDoor стала доступна Cisco в начале января 2024 года. Тогда же были обнаружены доказательства того, что злоумышленники занимались тестированием и созданием эксплойтов для данных уязвимостей с июля 2023 года. Несмотря на то, что Cisco пока не удалось определить начальный вектор атаки, компании удалось выявить и устранить обе упомянутые проблемы: CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (устойчивое локальное выполнение кода). Именно эти уязвимости использовались злоумышленниками.
Благодаря этим уязвимостям атакующие получили возможность внедрять вредоносные программы в системы жертв и закрепляться на взломанных устройствах ASA и FTD.
Один из вредоносов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения протоколирования, предоставления удаленного доступа и передачи перехваченных пакетов.
Второй вредонос, Line Runner, является устойчивым бэкдором, оснащённым множеством механизмов защиты от обнаружения и позволяющим злоумышленникам выполнять произвольный Lua-код на взломанных системах.
Специалисты Cisco Talos ведут наблюдение за этой группой, которая получила идентификатор UAT4356, а в классификации Microsoft известна как STORM-1849. Начавшаяся в ноябре 2023 года шпионская кампания отслеживается экспертами под именем ArcaneDoor.
Информация о деятельности ArcaneDoor стала доступна Cisco в начале января 2024 года. Тогда же были обнаружены доказательства того, что злоумышленники занимались тестированием и созданием эксплойтов для данных уязвимостей с июля 2023 года. Несмотря на то, что Cisco пока не удалось определить начальный вектор атаки, компании удалось выявить и устранить обе упомянутые проблемы: CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (устойчивое локальное выполнение кода). Именно эти уязвимости использовались злоумышленниками.
Благодаря этим уязвимостям атакующие получили возможность внедрять вредоносные программы в системы жертв и закрепляться на взломанных устройствах ASA и FTD.
Один из вредоносов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения протоколирования, предоставления удаленного доступа и передачи перехваченных пакетов.
Второй вредонос, Line Runner, является устойчивым бэкдором, оснащённым множеством механизмов защиты от обнаружения и позволяющим злоумышленникам выполнять произвольный Lua-код на взломанных системах.
«Злоумышленники использовали специализированный инструментарий, который свидетельствует о явной нацеленности на шпионаж и глубоком знании атакованных устройств, что является отличительными признаками опытных спонсируемых государством субъектов, — пишут в Cisco. — В рамках этой кампании UAT4356 развернули два бэкдора, Line Runner и Line Dancer, которые в совокупности использовались для осуществления вредоносных действий, включая изменение конфигурации, разведку, перехват/эксфильтрацию сетевого трафика и, вероятно, боковое перемещение».
Параллельно с Cisco о данной угрозе предупредили Национальный центр кибербезопасности Великобритании (NCSC), Канадский центр кибербезопасности (Cyber Centre) и Австралийский центр кибербезопасности (ACSC). Власти сообщили, что злоумышленники использовали полученный доступ для генерации текстовых версий конфигурационных файлов устройств с целью их хищения через веб-запросы, контроля над включением и отключением службы syslog для маскировки дополнительных команд, а также изменения настроек аутентификации, авторизации и аудита (AAA) таким образом, чтобы устройства, подконтрольные злоумышленникам и соответствующие определённому идентификатору, могли получить доступ к атакованной среде.
Поскольку компания уже выпустила обновления для устранения обеих уязвимостей, она настоятельно рекомендует всем клиентам обновить свои устройства, чтобы предотвратить любые возможные атаки.
Администраторам Cisco также рекомендуется отслеживать системные журналы на предмет любых незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности с учетными данными.
Поскольку компания уже выпустила обновления для устранения обеих уязвимостей, она настоятельно рекомендует всем клиентам обновить свои устройства, чтобы предотвратить любые возможные атаки.
Администраторам Cisco также рекомендуется отслеживать системные журналы на предмет любых незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности с учетными данными.