Cisco Talos’taki güvenlik araştırmacıları, UAT4356 (STORM-1849) olarak takip edilen, devlet destekli bir tehdit aktörü tarafından yürütülen “ArcaneDoor” adlı karmaşık bir siber casusluk kampanyasını ortaya çıkardı.
Bu kampanya, Cisco’nun Adaptive Security Appliance (ASA) güvenlik duvarlarındaki çok sayıda sıfır gün güvenlik açığından yararlanarak küresel olarak devlet ağlarını hedef aldı.
Saldırı zinciri, güvenliği ihlal edilmiş ASA cihazlarına kalıcı erişim ve uzaktan kontrol sağlamak için “Line Dancer” ve “Line Runner” olmak üzere iki özel kötü amaçlı yazılım implantasyonundan yararlandı.
Line Dancer, isteğe bağlı yüklerin yürütülmesine olanak tanıyan bir bellek içi kabuk kodu yorumlayıcısıydı; Line Runner ise eski bir VPN istemcisinin ön yükleme işlevini kötüye kullanarak kalıcı bir arka kapı sağladı.
“Cisco, küçük bir müşteri grubuna özel kötü amaçlı yazılım yerleştirmek ve komutları yürütmek için kullanılan karmaşık bir saldırı zincirini ortaya çıkardı. Cisco araştırmacıları ilk saldırı vektörünü belirleyemese de, bu kampanyada kötüye kullanılan iki güvenlik açığını (CVE-2024-20353 ve CVE-2024-20359) belirledik.”
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
İlk Uzlaşma ve Çizgi Dansçısı İmplantı
ASA güvenlik duvarlarını tehlikeye atmak için kullanılan ilk saldırı vektörü hala bilinmiyor. Ancak erişim elde edildikten sonra bilgisayar korsanları, bellekte yerleşik bir kabuk kodu yorumlayıcısı olan Line Dancer implantını yerleştirdiler.
Bu, SSL VPN oturumu oluşturma sürecinin ana bilgisayar taraması-yanıt alanı aracılığıyla kötü amaçlı yükleri yüklemelerine ve yürütmelerine olanak tanıdı.
Line Dancer, günlüğe kaydetmeyi devre dışı bırakma, cihaz yapılandırmalarını yakalama, ağ trafiğini dinleme, CLI komutlarını yürütme ve hatta kimlik doğrulama mekanizmalarını atlama yeteneği sağladı.
Adli analizleri engellemek için kilitlenme dökümleri gibi kritik işlevleri bağladı ve kendisini bellekten çıkarmak için cihazları yeniden başlattı.
Kalıcı Hat Koşucusu Arka Kapısı
Bilgisayar korsanları, erişimi sürdürmek amacıyla Line Runner kalıcı arka kapısını yüklemek için iki sıfır gün güvenlik açığından (CVE-2024-20353 ve CVE-2024-20359) yararlandı.
Bu, VPN istemci paketlerinin ASA’lara önceden yüklenmesine izin veren eski bir özellikten yararlandı.
Line Runner, gizli bir dizin oluşturan, arka kapı görevi gören bir web içeriği dosyası yerleştiren ve her önyüklemede yürütülmek üzere kötü amaçlı bir ZIP dosyasını kopyalamak için sistem komut dosyalarını değiştiren Lua komut dosyalarından oluşuyordu.
Bu, saldırganlara yazılım yükseltmelerinden ve yeniden başlatmalardan sağ kurtulabilen kalıcı bir HTTP tabanlı arka kapı sağladı.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux’ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox’a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN’da kötü amaçlı yazılımları ücretsiz analiz edin
Adli Tıpla Mücadele ve Atıf
ArcaneDoor kampanyası, çekirdek döküm işlevlerini değiştirerek, günlüğe kaydetmeyi devre dışı bırakarak ve etkinliklerini gizlemek için kimlik doğrulama süreçlerini bağlayarak gelişmiş adli tıp önleme yeteneklerini gösterdi.
Bu operasyonel güvenlik önlemleri, özel kötü amaçlı yazılım implantlarının geliştirilmesi ve sıfır günlerin zincirlenmesiyle birleştiğinde, devlet destekli bir tehdit aktörünün varlığını güçlü bir şekilde ortaya koyuyor.
Cisco, istismar edilen güvenlik açıkları için yamalar yayınlamış olsa da kuruluşların, bu kampanyadan kaynaklanabilecek potansiyel tehlikeleri tespit etmek ve düzeltmek için ASA güvenlik duvarlarını acilen güncellemeleri ve önerilen olay müdahale prosedürlerini takip etmeleri gerekmektedir.
Güvenlik duvarları gibi çevre ağ cihazları, hassas ağlara doğrudan izinsiz giriş noktası sağladıklarından casusluk aktörleri için kazançlı hedeflerdir.
ArcaneDoor kampanyası, bu tür kritik altyapı bileşenlerinin anında yamalanmasının, güvenli yapılandırmaların ve proaktif izlenmesinin öneminin altını çiziyor.
Combat Email Threats with Free Phishing Simulations: Email Security Awareness Training ->Try Free Demo
Uzlaşma Göstergeleri
Olasılıkla Aktör Kontrollü Altyapı:
192.36.57[.]181
185.167.60[.]85
185.227.111[.]17
176.31.18[.]153
172.105.90[.]154
185.244.210[.]120
45.86.163[.]224
172.105.94[.]93
213.156.138[.]77
89.44.198[.]189
45.77.52[.]253
103.114.200[.]230
212.193.2[.]48
51.15.145[.]37
89.44.198[.]196
131.196.252[.]148
213.156.138[.]78
121.227.168[.]69
213.156.138[.]68
194.4.49[.]6
185.244.210[.]65
216.238.75[.]155
Çok Kiracılı Altyapı:
5.183.95[.]95
45.63.119[.]131
45.76.118[.]87
45.77.54[.]14
45.86.163[.]244
45.128.134[.]189
89.44.198[.]16
96.44.159[.]46
103.20.222[.]218
103.27.132[.]69
103.51.140[.]101
103.119.3[.]230
103.125.218[.]198
104.156.232[.]22
107.148.19[.]88
107.172.16[.]208
107.173.140[.]111
121.37.174[.]139
139.162.135[.]12
149.28.166[.]244
152.70.83[.]47
154.22.235[.]13
154.22.235[.]17
154.39.142[.]47
172.233.245[.]241
185.123.101[.]250
192.210.137[.]35
194.32.78[.]183
205.234.232[.]196
207.148.74[.]250
216.155.157[.]136
216.238.66[.]251
216.238.71[.]49
216.238.72[.]201
216.238.74[.]95
216.238.81[.]149
216.238.85[.]220
216.238.86[.]24