Un actor de amenazas patrocinado por el estado lanzó una sofisticada campaña de ciberespionaje que explota dos vulnerabilidades en las plataformas de firewall de Cisco, según un aviso de Cisco Talos. La campaña, denominada ArcaneDoor, apunta a dispositivos de red perimetrales para permitir al atacante emprender una variedad de acciones dentro de los sistemas de una organización, incluido el desvío o modificación del tráfico y el monitoreo de las comunicaciones de la red. Cisco identificó a un actor de amenazas rastreado como UAT4356 por Talos y STORM-1849 por el Centro de inteligencia de amenazas de Microsoft como detrás de la campaña. «Este actor utilizó herramientas personalizadas que demostraron un claro enfoque en el espionaje y un conocimiento profundo de los dispositivos a los que apuntaban, características distintivas de un actor sofisticado patrocinado por el estado», escribió Cisco Talos. La firma señaló que la campaña encaja con la tendencia de un “aumento dramático y sostenido” en la focalización en dispositivos de red perimetral en los últimos dos años. Estos apuntan particularmente a entidades de infraestructura crítica, como las empresas de energía, que probablemente sean objetivos estratégicos de interés para muchos gobiernos extranjeros. Cómo se dirige ArcaneDoor a las organizaciones Talos describió una cadena de ataque sofisticada utilizada por UAT4356 para llevar a cabo la campaña de espionaje, que implicó implantar malware personalizado y ejecutar comandos en un pequeño conjunto de clientes. Inicialmente, la empresa fue alertada sobre actividad sospechosa en un dispositivo Cisco Adaptive Security Appliance (ASA) a principios de 2024 y, tras la investigación, se descubrió una infraestructura controlada por actores que data de principios de noviembre de 2024. También hay evidencia de que esta capacidad se estaba probando y desarrollado ya en julio de 2023. El análisis identificó víctimas adicionales, todas las cuales involucraban redes gubernamentales a nivel mundial. Si bien no se ha descubierto el vector de ataque inicial, Talos dijo que el actor de amenazas explotó dos vulnerabilidades previamente desconocidas, CVE-2024-20353 y CVE-2024-20359, en la campaña. Ya hay correcciones disponibles para estas vulnerabilidades. Luego se emplearon dos puertas traseras una vez que UAT4356 había comprometido el objetivo, conocidas como “Line Runner” y “Line Dancer”. Estos se utilizaron colectivamente para llevar a cabo acciones maliciosas en el objetivo, incluida la modificación de la configuración, el reconocimiento, la captura/exfiltración del tráfico de la red y potencialmente el movimiento lateral. Line Dancer es un implante de solo memoria, diseñado para permitir a los atacantes cargar y ejecutar cargas útiles de shellcode arbitrarias. El adversario envía los códigos shell a través del campo host-scan-reply, que luego es analizado por el implante Line Dancer. Talos observó a los actores de amenazas que usaban Line Dancer para una variedad de tareas que incluyen deshabilitar syslog, ejecutar y filtrar la configuración del programa de comandos y crear y filtrar capturas de paquetes. El segundo malware implementado por los atacantes, Line Runner, se utiliza para mantener la persistencia en el dispositivo ASA comprometido. Utiliza funcionalidad relacionada con una capacidad heredada en ASA que permitía la carga previa de clientes VPN y complementos en el dispositivo. A esta vulnerabilidad se le ha asignado CVE-2024-20359. La otra vulnerabilidad, asignada CVE-2024-20353, también fue explotada para facilitar este proceso, provocando que el dispositivo ASA objetivo se reiniciara y provocando la descompresión e instalación del segundo componente de Line Runner. Los scripts en el archivo zip permiten al actor de amenazas mantener una puerta trasera Lua persistente basada en HTTP para el ASA, sobreviviendo reinicios y actualizaciones. Atribuida a un actor patrocinado por el Estado La naturaleza sofisticada de la campaña, junto con la victimología, ha llevado a Talos a evaluar con gran seguridad que fue realizada por un actor patrocinado por el Estado. Los investigadores también notaron que UAT4356 tomó “medidas claras y deliberadas” para tratar de evitar la captura forense de sus artefactos maliciosos. Esto incluyó conectar la función de Autenticación, Autorización y Contabilidad (AAA) del dispositivo para permitir al actor eludir las operaciones AAA normales. Talos declaró: «Este oficio sugiere una comprensión profunda del propio ASA y de las acciones forenses comúnmente realizadas por Cisco para la validación de la integridad de los dispositivos de red». Un aviso conjunto publicado el 24 de abril por el Centro Canadiense de Seguridad Cibernética (Cyber ​​Center), el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha advertido a los profesionales y gerentes de TI dentro del gobierno y de todos los sectores sobre la amenaza, instándolos a aplicar los parches disponibles de inmediato. Dijo que las capacidades de los atacantes son indicativas de espionaje realizado por un actor sofisticado y con buenos recursos patrocinado por el Estado. Se insta a los clientes de Cisco a tomar medidas Se han lanzado parches para las dos vulnerabilidades explotadas, y se insta a las organizaciones que utilizan el software ASA a actualizar a una versión parcheada, incluso si creen que su dispositivo no ha sido comprometido. Talos agregó que todos los dispositivos de red, independientemente del proveedor, deben estar parcheados adecuadamente, iniciar sesión en una ubicación central segura y configurarse para tener una autenticación multifactor (MFA) sólida. El aviso de la firma también brinda consejos para los clientes de ASA que sospechan que pueden haber sido blanco de esta campaña. Estos son: Busque cualquier flujo hacia/desde dispositivos ASA a cualquiera de las direcciones IP presentes en la lista de IOC proporcionada en el aviso de Talos, emita el comando “mostrar región de memoria | incluir a lina” para identificar otro indicador de compromiso. Si el resultado indica más de una región de memoria ejecutable, esto es una señal de posible manipulación. Siga los pasos descritos en los Procedimientos de investigación forense de Cisco ASA para socorristas. Este documento proporciona orientación para recopilar pruebas de manera forense sólida de dispositivos Cisco ASA que se sospecha que están comprometidos o manipulados.