ArcaneDoor, Devlet Ağlarına Saldırmak İçin Cisco Sıfır Günlerini Kullanıyor

   Nisan 25, 2024  Posted in CyberSecurityNews


ArcaneDoor, Devlet Ağlarına Saldırmak İçin Cisco Sıfır Günlerini Kullanıyor

Bilgisayar korsanları, güvenlik açıkları içeren yaygın olarak kullanılan ağ ekipmanlarını kötüye kullanabildikleri için Cisco sıfır günlerini hedef alıyor; bu, tek seferde birçok sistemi ve ağı etkileyebilecekleri anlamına geliyor.

Saldırganlar bu güvenlik açıklarını, yetkisiz giriş elde etmek, herhangi bir kod yürütmek veya Cisco altyapısını kullanan kuruluşları büyük riske atmalarına olanak tanıyan diğer kötü amaçlı eylemleri gerçekleştirmek için kullanır.

Son zamanlarda Cisco Talos Intelligence’daki siber güvenlik araştırmacıları, ArcaneDoor’un hükümet ağlarına saldırmak için Cisco sıfır günlerinden yararlandığını keşfetti.

ArcaneDoor, Cisco Zero-Days’ten Yararlanıyor

ArcaneDoor, devlet destekli aktörler tarafından desteklenen ve tüm tedarikçilerin çevre ağ cihazlarını casusluk amacıyla hedef alan bir kampanyadır.

Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide

Bu cihazlar ağ verilerine erişime olanak sağladığı için değerlidir. Tehdit aktörleri tarafından ele geçirildikten sonra trafiğin izlenebileceği ve keşiflerin yapılabileceği organizasyonlara dönüşmek için kullanılabilirler.

Cisco, gelişmiş görünürlükleri sayesinde gelişmiş bir aktörün (UAT4356/STORM-1849) dahil olduğu bir olayı tespit etti ve olayı daha ayrıntılı bir şekilde araştırabildi.

UAT4356 Altyapısı (Kaynak – Cisco Talos)

Aktör, hedeflenen cihazlar için özel olarak tasarlanmış Line Runner ve Line Dancer truva atlarını kullandı. Bunlar daha sonra konfigürasyon değişiklikleri yapmak, veri sızdırmak veya ilgili cihaz hakkında derin bilgiye sahip sistemler içinde yanal hareket etmek gibi kötü amaçlarla kullanıldı.

Cisco, bir devlet aktörünün özel kötü amaçlı yazılım yerleştirdiğini ve karmaşık bir saldırı zincirinde müşteri ağlarına komutlar çalıştırarak iki güvenlik açığından yararlandığını tespit etti: –

Ancak ilk erişimde hangi yöntemin kullanıldığı açık değildir.

Yetenek gelişiminin Temmuz 2023’ten bu yana gerçekleştiğini ve en yoğun faaliyetin dünya çapındaki hükümet ağlarının hedeflendiği Aralık 2023 ve Ocak 2024’te gerçekleştiğini belirttiler.

Etkinliklerin zaman çizelgesi (Kaynak – Cisco Talos)

Saldırıda çok bileşenli bir kötü amaçlı yazılım kullanıldı; “Line Dancer” bellekte yerleşik kabuk kodu yorumlayıcısı, kimlik doğrulamayı atlayarak ana bilgisayar tarama yanıt alanı aracılığıyla güvenliği ihlal edilmiş ASA’larda rastgele veri yüklerinin yürütülmesine olanak sağladı.

Line Dancer’ın işlem belleği, saldırgan tarafından sağlanan yüklerin yürütme amacıyla kodunu çözmeye yönelik işlevsellik içeriyordu.

Bu, doğrudan yönetim arayüzlerinden faydalanmadan kalıcı kötü amaçlı erişime ve veri sızmasına olanak sağladı.

Saldırı, iki kötü amaçlı yazılım bileşeni aracılığıyla devam etti: –

  • Ele geçirilen ana makine taraması yanıt işlemi aracılığıyla ilk kabuk kodu yürütmesi için Line Dancer
  • Eski bir VPN istemcisinden ve eklenti ön yükleme özelliğinden yararlanan kalıcı bir HTTP Lua arka kapısı olarak Line Runner (CVE-2024-20359)

Tehdit aktörü, ASA yeniden başlatmalarını tetiklemek için CVE-2024-20353’ü kötüye kullandı ve Line Runner komut dosyalarını içeren kötü amaçlı bir zip dosyasının yeniden başlatmalar ve yükseltmeler sırasında yürütülmesine ve kalıcılığını korumasına izin verdi.

Bunun yanı sıra, tehdit aktörünün ZIP dosyası aşağıdaki dosyaları içerir:-

  • csco_config.lua
  • csco_config2.lua
  • hash.txt
  • indeks.txt
  • laecsnw.txt
  • stgvdr.txt
  • umtfc.txt

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Kuruluşlar, ASA’lar ile saldırgan IP’leri arasındaki bağlantıları arayarak ve ‘bellek bölgesini göster | Line Dancer implantını belirten yürütülebilir bellek bölgelerini tespit etmek için lina’yı içerir (>1 r-xp bölgesi, özellikle 0x1000 bayt).
  • Yayınlanan Snort imzaları 63139, 62949 ve 45575, TLS denetimi etkinleştirilirse implantları ve davranışları tespit eder.
  • Şüphelenilen güvenlik ihlaline bakılmaksızın yamalı sürümlere yükseltin.

IoC’ler

Muhtemelen Aktör Kontrollü Altyapı: –

  • 192.36.57[.]181
  • 185.167.60[.]85
  • 185.227.111[.]17
  • 176.31.18[.]153
  • 172.105.90[.]154
  • 185.244.210[.]120
  • 45.86.163[.]224
  • 172.105.94[.]93
  • 213.156.138[.]77
  • 89.44.198[.]189
  • 45.77.52[.]253
  • 103.114.200[.]230
  • 212.193.2[.]48
  • 51.15.145[.]37
  • 89.44.198[.]196
  • 131.196.252[.]148
  • 213.156.138[.]78
  • 121.227.168[.]69
  • 213.156.138[.]68
  • 194.4.49[.]6
  • 185.244.210[.]65
  • 216.238.75[.]155

Çok Kiracılı Altyapı:-

  • 5.183.95[.]95
  • 45.63.119[.]131
  • 45.76.118[.]87
  • 45.77.54[.]14
  • 45.86.163[.]244
  • 45.128.134[.]189
  • 89.44.198[.]16
  • 96.44.159[.]46
  • 103.20.222[.]218
  • 103.27.132[.]69
  • 103.51.140[.]101
  • 103.119.3[.]230
  • 103.125.218[.]198
  • 104.156.232[.]22
  • 107.148.19[.]88
  • 107.172.16[.]208
  • 107.173.140[.]111
  • 121.37.174[.]139
  • 139.162.135[.]12
  • 149.28.166[.]244
  • 152.70.83[.]47
  • 154.22.235[.]13
  • 154.22.235[.]17
  • 154.39.142[.]47
  • 172.233.245[.]241
  • 185.123.101[.]250
  • 192.210.137[.]35
  • 194.32.78[.]183
  • 205.234.232[.]196
  • 207.148.74[.]250
  • 216.155.157[.]136
  • 216.238.66[.]251
  • 216.238.71[.]49
  • 216.238.72[.]201
  • 216.238.74[.]95
  • 216.238.81[.]149
  • 216.238.85[.]220
  • 216.238.86[.]24

Güncelleme: Cisco, Sıfır Gün güvenlik açıklarına yönelik güncellemeler yayınladı; daha fazla ayrıntıyı burada bulabilirsiniz.

Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo 



Source link