Bilgisayar korsanları, yaygın kullanımları ve yetkisiz erişim elde etmek, verileri çalmak ve siber saldırılar başlatmak için güvenlik açıklarından yararlanma potansiyeli nedeniyle Cisco Güvenlik Duvarlarını hedef alıyor.
Cisco Talos yakın zamanda, daha önce bilinmeyen bir devlet destekli tehdit aktörü olan “UAT4356″nın “ArcaneDoor” adlı küresel bir kampanyasını bildirdi.
Kampanya, çeşitli satıcıların devlete ait çevre ağ cihazlarını hedef aldı.
Talos, oyuncunun altyapısının 2023’ün sonlarında kurulduğunu ve ilk faaliyetin Ocak 2024’ün başlarında tespit edildiğini keşfetti.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Soruşturma, Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) yazılımlarında, saldırı zincirinin bir parçası olarak istismar edilen üç sıfır gün güvenlik açığını ortaya çıkardı: –
İlk erişim vektörü bilinmezken. Censys’teki siber güvenlik analistleri yakın zamanda Cisco Güvenlik Duvarı’nın sıfır günlerini kullanan ArcaneDoor bilgisayar korsanlarının Çin ile bağlantılı olduğunu keşfetti.
Çin’e ArcaneDoor Bağlantısı
Cisco Talos’un “ArcaneDoor” kampanyası olarak adlandırdığı çalışmada, tehdit aktörü UAT4356’nın bazı hatalar yaptığı inkar edilemez.
Öncelikle, SSL sertifikasını veren kuruluş ve konu adları, ilk erişim için kullanılmış olabilecek OpenConnect VPN Sunucusu ile ilişkili gibi görünen bir model içeriyordu.
Birkaç ana bilgisayar bu sertifikaya sahipti; bazıları Talos’un söylediğiyle eşleşen Cisco ASA yazılımını çalıştırıyordu.
Ancak bu ana bilgisayarlar Tencent ve ChinaNet gibi Çin’in özerk sistemlerine dağıtıldı, bu da onların dünya çapında gelişmiş bir operasyonun parçası olduklarını gösteriyor.
Daha da ilginci, Talos’un verdiği 22 IP’den 11’inin, potansiyel olarak aktörler tarafından kontrol altına alındıktan sonra hala yaşam belirtileri göstermesi, bu da bu alanlarda devam eden faaliyetlerin olduğu anlamına geliyor.
Bu ana bilgisayarlar aşağıdaki ağlarda yoğunlaşmıştır: –
- HAYALET
- AS-CHOOPA
- HIZLANDIRILMIŞ-BT
- AKAMAI-LINODE
- ASNET
- KİREÇ TAŞI AĞLARI
- STARK ENDÜSTRİLERİ
- CV’de TSRDC-AS-AP Truxgo SRL
Xray ve Marzban gibi çeşitli sansür karşıtı araçlar, ilginç sertifika ayrıntılarına odaklanıldığında keşfedildi.
Bunların Çinli gruplar tarafından Büyük Güvenlik Duvarını aşmak amacıyla oluşturulduğuna inanılıyordu.
Talos tarafından tanımlanan göstergeler, bu hizmetlerin aktörlerin kontrolü altındaki altyapı üzerinden yürütüldüğünü gösteren Censys verileriyle karşılaştırıldı; önemli sayıda kişi (yaklaşık 4.800) limanlarda bulunan bu projeyle en sık ilişkilendirilen farklı IP’lerde Gozargah sertifika adını kullanıyor 62050/62051 gibi.
Ana bilgisayarlardan birinde, diğerlerinin yanı sıra Xray de dahil olmak üzere tespitten kaçınmak için çeşitli araçları destekleyen bir Çin planıyla ilişkili olan “Truva Atı Paneli” adı verilen bir HTTP paneli vardı.
.webp)
Aktör tarafından işletilen IP’ler ve sertifika parmak izleri incelendiğinde, bu kampanyanın Çinli bir aktör tarafından başlatılmış olabileceği ortaya çıktı. Devlet sponsorunu bulmak, saldırı yöntemlerini, kurbanları ve bağlamı birlikte analiz etmeyi gerektirir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide