Een nieuwe malwarecampagne maakte gebruik van twee zero-day-fouten in de netwerkapparatuur van Cisco om aangepaste malware te leveren en geheime gegevensverzameling op doelomgevingen te vergemakkelijken.
Cisco Talos, die de activiteit noemde ArcaneDoorwaarbij het wordt toegeschreven als het handwerk van een voorheen ongedocumenteerde, geavanceerde, door de staat gesponsorde acteur die het volgt onder de naam UAT4356 (ook bekend als Storm-1849 van Microsoft).
“UAT4356 heeft twee backdoors ingezet als componenten van deze campagne, ‘Line Runner’ en ‘Line Dancer’, die gezamenlijk werden gebruikt om kwaadwillige acties op het doel uit te voeren, waaronder configuratiewijziging, verkenning, vastleggen/exfiltratie van netwerkverkeer en mogelijk laterale verplaatsing. ' zei Talos.
De inbraken, die begin januari 2024 voor het eerst werden gedetecteerd en bevestigd, brengen misbruik van twee kwetsbaarheden met zich mee:
- CVE-2024-20353 (CVSS-score: 8,6) – Cisco Adaptive Security Appliance en Firepower Threat Defense Software Web Services Denial-of-Service-kwetsbaarheid
- CVE-2024-20359 (CVSS-score: 6,0) – Cisco Adaptive Security Appliance en Firepower Threat Defense Software Persistente lokale code-uitvoering Kwetsbaarheid
Het is vermeldenswaard dat een zero-day exploit de techniek of aanval is die een kwaadwillende actor gebruikt om gebruik te maken van een onbekend beveiligingsprobleem om toegang te krijgen tot een systeem.
Terwijl de tweede fout een lokale aanvaller in staat stelt willekeurige code uit te voeren met privileges op rootniveau, zijn privileges op beheerdersniveau vereist om deze te misbruiken. Samen met CVE-2024-20353 en CVE-2024-20359 wordt een probleem met de injectie van commando's opgelost in hetzelfde apparaat (CVE-2024-20358, CVSS-score: 6,0) dat aan het licht kwam tijdens interne beveiligingstests.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de tekortkomingen toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de door de leverancier geleverde oplossingen vóór 1 mei 2024 moeten toepassen.
Het exacte initiële toegangspad dat wordt gebruikt om de apparaten te doorbreken is momenteel onbekend, hoewel UAT4356 al in juli 2023 met de voorbereidingen daarvoor zou zijn begonnen.
Een succesvolle voet aan de grond wordt gevolgd door de inzet van twee implantaten genaamd Line Dancer en Line Runner, waarvan de eerste een achterdeur in het geheugen is waarmee aanvallers willekeurige shellcode-payloads kunnen uploaden en uitvoeren, inclusief het uitschakelen van systeemlogboeken en het exfiltreren van pakketopnamen.
Line Runner daarentegen is een persistent HTTP-gebaseerd Lua-implantaat dat op de Cisco Adaptive Security Appliance (ASA) is geïnstalleerd door gebruik te maken van de eerder genoemde zero-days, zodat het kan overleven tijdens reboots en upgrades. Er is waargenomen dat het wordt gebruikt om informatie op te halen die door Line Dancer is opgevoerd.
“Er wordt vermoed dat Line Runner aanwezig kan zijn op een gecompromitteerd apparaat, zelfs als Line Dancer dat niet is (bijvoorbeeld als een hardnekkige achterdeur, of waar een getroffen ASA nog niet de volledige operationele aandacht heeft gekregen van de kwaadwillende actoren)”, aldus een gezamenlijk advies gepubliceerd door cyberbeveiligingsagentschappen uit Australië, Canada en het VK
In elke fase van de aanval zou UAT4356 blijk hebben gegeven van nauwgezette aandacht voor het verbergen van digitale voetafdrukken en het vermogen om ingewikkelde methoden toe te passen om geheugenforensisch onderzoek te omzeilen en de kansen op detectie te verkleinen, wat heeft bijgedragen aan de verfijning en ongrijpbare aard ervan.
Dit suggereert ook dat de bedreigingsactoren een volledig begrip hebben van de interne werking van de ASA zelf en van de “forensische acties die gewoonlijk door Cisco worden uitgevoerd voor de validatie van de integriteit van netwerkapparaten.”
Welk land precies achter ArcaneDoor zit, is onduidelijk, maar zowel Chinese als Russische door de staat gesteunde hackers hebben zich in het verleden op Cisco-routers gericht voor cyberspionagedoeleinden. Cisco Talos heeft ook niet gespecificeerd hoeveel klanten bij deze aanvallen zijn getroffen.
De ontwikkeling benadrukt nogmaals de toegenomen targeting van edge-apparaten en platforms zoals e-mailservers, firewalls en VPN’s die traditioneel geen endpoint-detectie- en respons (EDR)-oplossingen missen, zoals blijkt uit de recente reeks aanvallen gericht op Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks en VMware.
“Perimeternetwerkapparaten zijn het perfecte inbraakpunt voor spionagegerichte campagnes”, zegt Talos.
“Als een cruciaal pad voor data in en uit het netwerk, moeten deze apparaten routinematig en snel worden gepatcht, met behulp van up-to-date hardware- en softwareversies en configuraties, en nauwlettend worden gemonitord vanuit een beveiligingsperspectief. Met deze apparaten kan een actor rechtstreeks in een organisatie terechtkomen, verkeer omleiden of wijzigen en netwerkcommunicatie monitoren.”
