А вот Cisco, напротив, на этой неделе не порадует клиентов хорошими новостями, предупреждая о кампании кибершпионажа, нацеленной на правительственные сети по всему миру, которая получила наименование ArcaneDoor.

По данным APT-группировка UAT4356 реализует атаки как минимум с ноября 2023 года с использованием двух 0-day в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).

Несмотря на то, что первоначальный вектор атаки до сих пор неизвестен, исследователям удалось обнаружить и закрыть те самые нули: CVE-2024-20353 (CVSS: 8,6, DoS) и CVE-2024-20359 (CVSS: 6,0, постоянное выполнение локального кода).

Активность хакеров попала в поле зрения в январе 2024 года после обращения к PSIRT неназванного клиента в отношении проблем безопасности в продуктах ASA.

Дальнейшее расследование показало, что эксплойты для атак разрабатывались еще с июля 2023 года.

В качестве компонентов кампании задействовались два бэкдора: Line Runner и Line Dancer, которые использовались совместно для обеспечения персистентности и проведения вредоносных действий, включая изменение конфигурации, разведку, захват и эксфильтрацию сетевого трафика, а также горизонтальное перемещение.

Один из имплантатов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения ведения журналов, обеспечения удаленного доступа и фильтрации захваченных пакетов.

Второй имплант, постоянный бэкдор под названием Line Runner, оснащен множеством механизмов уклонения от защиты и обнаружения, позволяя злоумышленникам запускать произвольный код Lua на взломанных системах.

Сетевая телеметрия Cisco позволила задетектить сложную цепочку атак, которая использовалась для внедрения специального вредоносного ПО среди небольшой группы клиентов.

Тем не менее, информация партнеров Cisco указывают на то, что хакеры заинтересованы в проникновении в сетевые устройства Microsoft и других производителей.

Компания в среду выпустила обновления безопасности с исправлением двух нулей и настоятельно рекомендует всем клиентам обновить свои устройства до фиксированного ПО.

Кроме того, администраторам следует отслеживать системные журналы на предмет любых признаков незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности учетных данных.

В своих рекомендациях Cisco также отразила соответствующие инструкции по проверке целостности устройств ASA или FTD.

SecAtor

А вот Cisco, напротив, на этой неделе не порадует клиентов хорошими новостями, предупреждая о кампании кибершпионажа, нацеленной на правительственные сети по всему миру, которая получила наименование ArcaneDoor.

По данным APT-группировка UAT4356 реализует атаки как минимум с ноября 2023 года с использованием двух 0-day в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).

Несмотря на то, что первоначальный вектор атаки до сих пор неизвестен, исследователям удалось обнаружить и закрыть те самые нули: CVE-2024-20353 (CVSS: 8,6, DoS) и CVE-2024-20359 (CVSS: 6,0, постоянное выполнение локального кода).

Активность хакеров попала в поле зрения в январе 2024 года после обращения к PSIRT неназванного клиента в отношении проблем безопасности в продуктах ASA.

Дальнейшее расследование показало, что эксплойты для атак разрабатывались еще с июля 2023 года.

В качестве компонентов кампании задействовались два бэкдора: Line Runner и Line Dancer, которые использовались совместно для обеспечения персистентности и проведения вредоносных действий, включая изменение конфигурации, разведку, захват и эксфильтрацию сетевого трафика, а также горизонтальное перемещение.

Один из имплантатов, Line Dancer, представляет собой загрузчик шелл-кода в памяти, который помогает доставлять и выполнять произвольные полезные нагрузки для отключения ведения журналов, обеспечения удаленного доступа и фильтрации захваченных пакетов.

Второй имплант, постоянный бэкдор под названием Line Runner, оснащен множеством механизмов уклонения от защиты и обнаружения, позволяя злоумышленникам запускать произвольный код Lua на взломанных системах.

Сетевая телеметрия Cisco позволила задетектить сложную цепочку атак, которая использовалась для внедрения специального вредоносного ПО среди небольшой группы клиентов.

Тем не менее, информация партнеров Cisco указывают на то, что хакеры заинтересованы в проникновении в сетевые устройства Microsoft и других производителей.

Компания в среду выпустила обновления безопасности с исправлением двух нулей и настоятельно рекомендует всем клиентам обновить свои устройства до фиксированного ПО.

Кроме того, администраторам следует отслеживать системные журналы на предмет любых признаков незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности учетных данных.

В своих рекомендациях Cisco также отразила соответствующие инструкции по проверке целостности устройств ASA или FTD.

Cisco Talos Blog

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

ArcaneDoor is a campaign that is the latest example of state-sponsored actors targeting perimeter network devices from multiple vendors. Coveted by these actors, perimeter network devices are the perfect intrusion point for espionage-focused campaigns.

hottg.com/true_secator/5676

7.5K viewsApr 25 at 10:15