Aan China gelinkte hackers verdacht van ArcaneDoor-cyberaanvallen gericht op netwerkapparaten

De onlangs ontdekte cyberspionagecampagne gericht op perimeternetwerkapparaten van verschillende leveranciers, waaronder Cisco, kan het werk zijn geweest van aan China gelieerde actoren, volgens nieuwe bevindingen van Censys, een bedrijf dat aanvalsoppervlakken beheert.

De activiteit, genaamd ArcaneDoor, zou rond juli 2023 zijn begonnen, waarbij de eerste bevestigde aanval op een niet bij naam genoemd slachtoffer begin januari 2024 werd ontdekt.

De gerichte aanvallen, georkestreerd door een voorheen ongedocumenteerde vermoedelijke geavanceerde door de staat gesponsorde actor, gevolgd als UAT4356 (ook bekend als Storm-1849), brachten de inzet van twee aangepaste malware met de naam Line Runner en Line Dancer met zich mee.

Het initiële toegangspad dat werd gebruikt om de inbraken te vergemakkelijken moet nog worden ontdekt, hoewel is waargenomen dat de tegenstander gebruik maakt van twee inmiddels gerepareerde fouten in Cisco Adaptive Security Appliances (CVE-2024-20353 en CVE-2024-20359) om Line Runner in stand te houden.

Telemetriegegevens verzameld als onderdeel van het onderzoek hebben de interesse van de dreigingsactor in Microsoft Exchange-servers en netwerkapparaten van andere leveranciers onthuld, zei Talos vorige maand.

Censys, dat de door actoren gecontroleerde IP-adressen verder onderzocht, zei dat de aanvallen wijzen op de mogelijke betrokkenheid van een in China gevestigde bedreigingsacteur.

Dit is gebaseerd op het feit dat vier van de vijf online hosts die het SSL-certificaat presenteren en zijn geïdentificeerd als geassocieerd met de infrastructuur van de aanvallers, geassocieerd zijn met autonome systemen (AS) van Tencent en ChinaNet.

Bovendien bevindt zich onder de door de bedreigingsactoren beheerde IP-adressen een in Parijs gevestigde host (212.193.2(.)48) met als onderwerp en uitgever ingesteld als 'Gozargah', wat waarschijnlijk een verwijzing is naar een GitHub-account dat een anti-virus host. -censuurtool genaamd Marzban.

De software wordt op zijn beurt ‘aangedreven’ door een ander open-sourceproject genaamd Xray, dat een website heeft die in het Chinees is geschreven.

Dit impliceert dat “sommige van deze hosts diensten draaiden die verband hielden met anti-censuursoftware die waarschijnlijk bedoeld was om The Great Firewall te omzeilen”, en dat “een aanzienlijk aantal van deze hosts gevestigd zijn in prominente Chinese netwerken”, wat suggereert dat ArcaneDoor het werk zou kunnen zijn. van een Chinese acteur, theoretiseerde Censys.

Met China gelieerde natiestaten hebben zich de afgelopen jaren steeds meer op randapparatuur gericht, waarbij ze gebruik maken van zero-day-fouten in Barracuda Networks, Fortinet, Ivanti en VMware om interessante doelwitten te infiltreren en malware in te zetten voor aanhoudende geheime toegang.

De ontwikkeling komt nadat het Franse cyberbeveiligingsbedrijf Sekoia zei dat het in september 2023 met succes een command-and-control (C2)-server had gelinkt die was gekoppeld aan de PlugX-trojan door $ 7 uit te geven om het IP-adres te verkrijgen dat is gekoppeld aan een variant van de malware met mogelijkheden om zich te verspreiden in op een wormachtige manier via gecompromitteerde flashdrives.

Nauwkeuriger monitoring van het sinkhole IP-adres (45.142.166(.)112) heeft de aanwezigheid van de worm onthuld in meer dan 170 landen, verspreid over 2,49 miljoen unieke IP-adressen gedurende een periode van zes maanden. Het merendeel van de infecties is vastgesteld in Nigeria, India, China, Iran, Indonesië, Groot-Brittannië, Irak, de VS, Pakistan en Ethiopië.

“Veel landen, met uitzondering van India, zijn deelnemers aan het Chinese Belt and Road Initiative en hebben voor de meeste van hen kustlijnen waar Chinese infrastructuurinvesteringen aanzienlijk zijn”, aldus Sekoia. “Talrijke getroffen landen bevinden zich in regio's die van strategisch belang zijn voor de veiligheid van het Belt and Road Initiative.”

“Deze worm is ontwikkeld om in verschillende landen inlichtingen te verzamelen over de strategische en veiligheidsproblemen die verband houden met het Belt and Road Initiative, vooral over de maritieme en economische aspecten ervan.”

Thijs Van der Does