В кампании по кибершпионажу ArcaneDoor, которая началась в ноябре 2023 года, участвовали хакеры, спонсируемые государством, которые использовали две 0day уязвимости в продуктах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
📌0-day: Хакеры использовали две уязвимости нулевого дня, CVE-2024–20353 и CVE-2024–20359, которые позволяли проводить DoS-атаки типа ”отказ в обслуживании” и выполнение кода.
📌Сложное внедрение вредоносных программ: Злоумышленники внедрили два типа вредоносных программ - Line Dancer и Line Runner. Line Dancer - это загрузчик шеллкода в памяти, который облегчает выполнение произвольных полезных нагрузок шеллкода, в то время как Line Runner - это бэкдор, который позволяет злоумышленникам запускать произвольный Lua-код на скомпрометированных системах.
📌Глобальное воздействие: Кампания была нацелена на госсектор, используя уязвимости для получения доступа к конфиденциальной информации и потенциального осуществления дальнейших вредоносных действий, таких как утечка данных и горизонтальное перемещение внутри сетей.
📌Реакция и меры по устранению: Cisco отреагировала на это выпуском обновлений для системы безопасности, исправляющих уязвимости, и выпустила рекомендации, призывающие клиентов обновить свои устройства. Они также рекомендовали отслеживать системные журналы на наличие признаков компрометации, таких как незапланированные перезагрузки или несанкционированные изменения конфигурации.
📌Внимание к атрибуции и шпионажу: Хакерская группа, идентифицированная Cisco Talos как UAT4356, а Microsoft - как STORM-1849, продемонстрировала явную направленность на шпионаж. Считается, что кампания спонсировалась государством, и некоторые источники предполагают, что за атаками может стоять Китай.
📌Тенденция нацеливания на устройства периметра сети: инцидент является частью тенденции, когда спонсируемые государством субъекты нацеливаются на устройства периметра сети, такие как брандмауэры и VPN, чтобы получить первоначальный доступ к целевым сетям в целях шпионажа