ArcaneDoor

В ‎кампании‏ ‎по ‎кибершпионажу ‎ArcaneDoor, ‎которая ‎началась‏ ‎в ‎ноябре‏ ‎2023‏ ‎года, ‎участвовали ‎хакеры,‏ ‎спонсируемые ‎государством,‏ ‎которые ‎использовали ‎две ‎0day‏ ‎уязвимости‏ ‎в ‎продуктах‏ ‎Cisco ‎Adaptive‏ ‎Security ‎Appliance ‎(ASA) ‎и ‎Firepower‏ ‎Threat‏ ‎Defense ‎(FTD).

📌0-day: Хакеры‏ ‎использовали ‎две‏ ‎уязвимости ‎нулевого ‎дня, ‎CVE-2024-20353 ‎и‏ ‎CVE-2024-20359,‏ ‎которые‏ ‎позволяли ‎проводить‏ ‎DoS-атаки ‎типа‏ ‎«отказ ‎в‏ ‎обслуживании»‏ ‎и ‎выполнение‏ ‎кода.

📌Сложное ‎внедрение ‎вредоносных ‎программ: ‎Злоумышленники‏ ‎внедрили ‎два‏ ‎типа‏ ‎вредоносных ‎программ ‎—‏ ‎Line ‎Dancer‏ ‎и ‎Line ‎Runner. ‎Line‏ ‎Dancer‏ ‎— ‎это‏ ‎загрузчик ‎шеллкода‏ ‎в ‎памяти, ‎который ‎облегчает ‎выполнение‏ ‎произвольных‏ ‎полезных ‎нагрузок‏ ‎шеллкода, ‎в‏ ‎то ‎время ‎как ‎Line ‎Runner‏ ‎—‏ ‎это‏ ‎бэкдор, ‎который‏ ‎позволяет ‎злоумышленникам‏ ‎запускать ‎произвольный‏ ‎Lua-код‏ ‎на ‎скомпрометированных‏ ‎системах.

📌Глобальное ‎воздействие: ‎Кампания ‎была ‎нацелена‏ ‎на ‎госсектор,‏ ‎используя‏ ‎уязвимости ‎для ‎получения‏ ‎доступа ‎к‏ ‎конфиденциальной ‎информации ‎и ‎потенциального‏ ‎осуществления‏ ‎дальнейших ‎вредоносных‏ ‎действий, ‎таких‏ ‎как ‎утечка ‎данных ‎и ‎горизонтальное‏ ‎перемещение‏ ‎внутри ‎сетей.

📌Реакция‏ ‎и ‎меры‏ ‎по ‎устранению: Cisco ‎отреагировала ‎на ‎это‏ ‎выпуском‏ ‎обновлений‏ ‎для ‎системы‏ ‎безопасности, ‎исправляющих‏ ‎уязвимости, ‎и‏ ‎выпустила‏ ‎рекомендации, ‎призывающие‏ ‎клиентов ‎обновить ‎свои ‎устройства. ‎Они‏ ‎также ‎рекомендовали‏ ‎отслеживать‏ ‎системные ‎журналы ‎на‏ ‎наличие ‎признаков‏ ‎компрометации, ‎таких ‎как ‎незапланированные‏ ‎перезагрузки‏ ‎или ‎несанкционированные‏ ‎изменения ‎конфигурации.

📌Внимание‏ ‎к ‎атрибуции ‎и ‎шпионажу: Хакерская ‎группа,‏ ‎идентифицированная‏ ‎Cisco ‎Talos‏ ‎как ‎UAT4356,‏ ‎а ‎Microsoft ‎— ‎как ‎STORM-1849,‏ ‎продемонстрировала‏ ‎явную‏ ‎направленность ‎на‏ ‎шпионаж. ‎Считается,‏ ‎что ‎кампания‏ ‎спонсировалась‏ ‎государством, ‎и‏ ‎некоторые ‎источники ‎предполагают, ‎что ‎за‏ ‎атаками ‎может‏ ‎стоять‏ ‎Китай.

📌Тенденция ‎нацеливания ‎на‏ ‎устройства ‎периметра‏ ‎сети: ‎инцидент ‎является ‎частью‏ ‎тенденции,‏ ‎когда ‎спонсируемые‏ ‎государством ‎субъекты‏ ‎нацеливаются ‎на ‎устройства ‎периметра ‎сети,‏ ‎такие‏ ‎как ‎брандмауэры‏ ‎и ‎VPN,‏ ‎чтобы ‎получить ‎первоначальный ‎доступ ‎к‏ ‎целевым‏ ‎сетям‏ ‎в ‎целях‏ ‎шпионажа