Uma nova campanha de malware explorou duas falhas zero-day em equipamentos de rede da Cisco para entregar malware personalizado e facilitar a coleta de dados encoberta em ambientes alvo.
A Cisco Talos, que denominou a atividade como ArcaneDoor, atribuiu-a como obra de um ator sofisticado patrocinado pelo estado anteriormente não documentado, que ela acompanha sob o nome de UAT4356 (também conhecido como Storm-1849 pela Microsoft).
"O UAT4356 implantou dois backdoors como componentes dessa campanha, 'Line Runner' e 'Line Dancer', que foram usados coletivamente para conduzir ações maliciosas no alvo, que incluíram modificação de configuração, reconhecimento, captura/exfiltração de tráfego de rede e potencial movimento lateral," disse a Talos.
As intrusões, que foram detectadas e confirmadas pela primeira vez no início de janeiro de 2024, envolvem a exploração de duas vulnerabilidades -
CVE-2024-20353
(pontuação CVSS: 8.6) - Vulnerabilidade de Negação de Serviço em Web Services do Cisco Adaptive Security Appliance e Firepower Threat Defense Software
CVE-2024-20359
(pontuação CVSS: 6.0) - Vulnerabilidade de Execução de Código Local Persistente no Cisco Adaptive Security Appliance e Firepower Threat Defense Software
Vale ressaltar que um exploit zero-day é a técnica ou ataque que um ator malicioso utiliza para aproveitar uma vulnerabilidade de segurança desconhecida para ganhar acesso a um sistema.
Enquanto a segunda falha permite que um atacante local execute código arbitrário com privilégios de nível root, privilégios de nível de administrador são necessários para explorá-la.
Endereçada junto com o
CVE-2024-20353
e
CVE-2024-20359
está uma falha de injeção de comando no mesmo appliance (
CVE-2024-20358
, pontuação CVSS: 6.0) que foi descoberta durante testes de segurança internos.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as deficiências ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que agências federais apliquem as correções fornecidas pelo fornecedor até 1º de maio de 2024.
O caminho inicial exato usado para violar os dispositivos é atualmente desconhecido, embora se diga que o UAT4356 começou os preparativos para isso já em julho de 2023.
Um ponto de apoio bem-sucedido é seguido pela implantação de dois implantes nomeados Line Dancer e Line Runner, o primeiro dos quais é um backdoor em memória que permite aos atacantes carregar e executar payloads de shellcode arbitrário, incluindo desabilitar registros do sistema e exfiltrar capturas de pacotes.
Line Runner, por outro lado, é um implante Lua baseado em HTTP persistente instalado no Cisco Adaptive Security Appliance (ASA) explorando os zero-days mencionados de tal forma que ele pode sobreviver através de reinicializações e atualizações.
Observou-se que ele foi usado para buscar informações preparadas pelo Line Dancer.
"Suspeita-se que o Line Runner possa estar presente em um dispositivo comprometido mesmo que o Line Dancer não esteja (por exemplo, como um backdoor persistente, ou onde um ASA impactado ainda não recebeu atenção operacional completa dos atores maliciosos)," segundo um aviso conjunto publicado por agências de cibersegurança da Austrália, Canadá e Reino Unido.
Em cada fase do ataque, diz-se que o UAT4356 demonstrou atenção meticulosa para esconder pegadas digitais e a capacidade de empregar métodos intrincados para evitar a forense de memória e diminuir as chances de detecção, contribuindo para sua sofisticação e natureza elusiva.
Isso também sugere que os atores de ameaças têm um entendimento completo do funcionamento interno do próprio ASA e das "ações forenses comumente realizadas pela Cisco para validação da integridade do dispositivo de rede."
Não está claro exatamente qual país está por trás de ArcaneDoor, mas hackers apoiados pelo estado chinês e russo visaram roteadores da Cisco para fins de espionagem cibernética no passado.
A Cisco Talos também não especificou quantos clientes foram comprometidos nestes ataques.
O desenvolvimento mais uma vez destaca o aumento do direcionamento de dispositivos de borda e plataformas, como servidores de e-mail, firewalls e VPNs, que tradicionalmente carecem de soluções de detecção e resposta de endpoint (EDR), como evidenciado pela recente série de ataques direcionados à Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks e VMware.
"Dispositivos de rede de perímetro são o ponto de intrusão perfeito para campanhas focadas em espionagem," disse a Talos.
"Como um caminho crítico para dados entrarem e saírem da rede, esses dispositivos precisam ser rotineira e prontamente corrigidos; utilizando versões e configurações de hardware e software atualizadas; e serem monitorados de perto do ponto de vista de segurança.
Conseguir um ponto de apoio nesses dispositivos permite que um ator pivote diretamente para uma organização, redirecione ou modifique o tráfego e monitore comunicações de rede."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...