Một chiến dịch phần mềm độc hại mới đã tận dụng hai lỗ hổng zero-day trong thiết bị mạng Cisco để cung cấp phần mềm độc hại tùy chỉnh và tạo điều kiện thu thập dữ liệu bí mật trên môi trường mục tiêu.
Cisco Talos, đặt tên cho hoạt động này là ArcaneDoor, cho rằng nó là tác phẩm thủ công của một diễn viên nhà nước tinh vi không có giấy tờ mà nó theo dõi dưới tên UAT4356 (hay còn gọi là Storm-1849 của Microsoft).
"UAT4356 đã triển khai hai cửa hậu như các thành phần của chiến dịch này, 'Line Runner' và 'Line Dancer', được sử dụng chung để thực hiện các hành động độc hại trên mục tiêu, bao gồm sửa đổi cấu hình, trinh sát, nắm bắt / xâm nhập lưu lượng mạng và có khả năng di chuyển ngang, "Talos nói.
Các vụ xâm nhập, lần đầu tiên được phát hiện và xác nhận vào đầu tháng 1/2024, kéo theo việc khai thác hai lỗ hổng -
- CVE-2024-20353 (điểm CVSS: 8.6) - Thiết bị bảo mật thích ứng của Cisco và Phần mềm phòng thủ mối đe dọa hỏa lực Lỗ hổng từ chối dịch vụ web
- CVE-2024-20359 (điểm CVSS: 6.0) - Thiết bị bảo mật thích ứng của Cisco và Phần mềm phòng thủ mối đe dọa hỏa lực Lỗ hổng thực thi mã cục bộ liên tục
Cần lưu ý rằng khai thác lỗ hổng zero-day là kỹ thuật hoặc tấn công mà một tác nhân độc hại triển khai để tận dụng lỗ hổng bảo mật chưa biết để truy cập vào hệ thống.
Trong khi lỗ hổng thứ hai cho phép kẻ tấn công cục bộ thực thi mã tùy ý với các đặc quyền cấp gốc, các đặc quyền cấp quản trị viên được yêu cầu để khai thác nó. Giải quyết cùng với CVE-2024-20353 và CVE-2024-20359 là một lỗ hổng tiêm lệnh trong cùng một thiết bị (CVE-2024-20358, điểm CVSS: 6.0) đã được phát hiện trong quá trình kiểm tra bảo mật nội bộ.
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung những thiếu sót vào danh mục các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 1 tháng 5 năm 2024.
Ở mọi giai đoạn của cuộc tấn công, UAT4356 được cho là đã thể hiện sự chú ý tỉ mỉ trong việc che giấu dấu chân kỹ thuật số và khả năng sử dụng các phương pháp phức tạp để trốn tránh pháp y bộ nhớ và giảm cơ hội phát hiện, góp phần vào sự tinh vi và bản chất khó nắm bắt của nó.
Điều này cũng cho thấy rằng các tác nhân đe dọa có sự hiểu biết đầy đủ về hoạt động bên trong của chính ASA và về "các hành động pháp y thường được Cisco thực hiện để xác nhận tính toàn vẹn của thiết bị mạng".
Chính xác quốc gia nào đứng sau ArcaneDoor vẫn chưa rõ ràng, tuy nhiên cả tin tặc được nhà nước Trung Quốc và Nga hậu thuẫn đã nhắm mục tiêu vào các bộ định tuyến của Cisco cho mục đích gián điệp mạng trong quá khứ. Cisco Talos cũng không nói rõ có bao nhiêu khách hàng đã bị xâm phạm trong các cuộc tấn công này.
Sự phát triển một lần nữa nhấn mạnh việc nhắm mục tiêu ngày càng tăng của các thiết bị và nền tảng biên như máy chủ email, tường lửa và VPN mà theo truyền thống thiếu các giải pháp phát hiện và phản hồi điểm cuối (EDR), bằng chứng là chuỗi các cuộc tấn công gần đây nhắm vào Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks và VMware.