Cisco Talos ha identificado una nueva campaña de malware conocida como ArcaneDoor, la cual está vinculada a un actor sofisticado patrocinado por el estado y conocido como UAT4356 (también referido como Storm-1849 por Microsoft).
Este actor utilizó dos puertas traseras llamadas ‘Line Runner‘ y ‘Line Dancer‘ para llevar a cabo actividades maliciosas como cambios de configuración, reconocimiento, monitoreo del tráfico de red, exfiltración de datos y posibles movimientos laterales.
La intrusión, descubierta inicialmente en enero de 2024, explotó dos vulnerabilidades: CVE-2024-20353 con un puntaje CVSS de 8.6, y CVE-2024-20359 con un puntaje CVSS de 6.0, ambas en el Software Cisco Adaptive Security Appliance y Firepower Threat Defense.
Un exploit de día cero se refiere a la explotación de una vulnerabilidad de seguridad desconocida para obtener acceso no autorizado a un sistema.
Aunque la segunda falla permite la ejecución de código arbitrario con privilegios a nivel de raíz, se requiere acceso a nivel de administrador para explotarla. Además, se necesitó atención para una falla de inyección de comandos asociada (CVE-2024-20358).
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha agregado estas vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige a las agencias federales aplicar correcciones proporcionadas por el proveedor antes del 1 de mayo de 2024.
El método preciso de acceso inicial utilizado para violar los dispositivos es actualmente desconocido, pero UAT4356 comenzó los preparativos tan pronto como en julio de 2023.
Una vez que se logra el acceso, se despliegan dos implantes, Line Dancer y Line Runner. Line Dancer opera como una puerta trasera en memoria, permitiendo la ejecución de cargas útiles de shellcode arbitrarias, mientras que Line Runner persiste como un implante Lua basado en HTTP para sobrevivir reinicios y actualizaciones.
A lo largo del ataque, UAT4356 consistentemente ocultó huellas digitales y aplicó técnicas sofisticadas para evadir la memoria forense, demostrando un entendimiento completo del funcionamiento interno del ASA.
El origen exacto de ArcaneDoor sigue siendo desconocido. Sin embargo, hackers respaldados por estados tanto chinos como rusos han atacado previamente enrutadores de Cisco con fines de ciberespionaje.
Este desarrollo enfatiza el aumento del apuntamiento a dispositivos y plataformas perimetrales, los cuales a menudo carecen de soluciones de detección y respuesta terminal (EDR), como se evidencia en ataques recientes a varios proveedores de infraestructura de red.
Los dispositivos de red son puntos de intrusión vitales para campañas de espionaje y deben parchearse, monitorearse y mantenerse de forma proactiva desde una perspectiva de seguridad para prevenir acceso no autorizado y compromiso de datos.
Vía The Hacker News
La entrada Hackers respaldados por el estado explotan dos vulnerabilidades de día cero de Cisco para espionaje se publicó primero en News Bender Daily.