.png)
ArcaneDoor es una campaña que es el ejemplo más reciente de actores patrocinados por el estado que apuntan a dispositivos de red perimetral de múltiples proveedores.
Esta campaña se dirigió a las redes gubernamentales a nivel mundial mediante la explotación de múltiples vulnerabilidades de día cero en los firewalls Adaptive Security Appliance (ASA) de Cisco.
La cadena de ataque aprovechó dos implantes de malware personalizados, “Line Dancer” y “Line Runner”, para obtener acceso persistente y control remoto sobre los dispositivos ASA comprometidos.
Line Dancer era un intérprete de shellcode en memoria que permitía ejecutar cargas útiles arbitrarias, mientras que Line Runner proporcionaba una puerta trasera persistente al abusar de la funcionalidad de precarga de un cliente VPN heredado.
Line Dancer proporcionó la capacidad de deshabilitar el registro, capturar configuraciones de dispositivos, rastrear el tráfico de la red, ejecutar comandos CLI e incluso omitir los mecanismos de autenticación.
Conectó funciones críticas como volcados de memoria para dificultar el análisis forense y reinició dispositivos para eliminarse de la memoria.
Recomendaciones
Se recomienda a los usuarios de dispositivos Cisco que actualicen sus dispositivos a las versiones de software corregidas para bloquear posibles ataques. También se aconseja monitorear de cerca los registros del sistema en busca de signos de actividad sospechosa y configurar la autenticación de múltiples factores (MFA) para una mayor seguridad.
Registrar eventos en una ubicación central y segura. Y configurar autenticación fuerte y multi-factor (MFA).
Seguir las instrucciones que Cisco ha proporcionado para verificar la integridad de los dispositivos ASA o FTD en su asesoramiento.
Los clientes pueden utilizar los siguientes pasos para verificar la integridad de sus dispositivos Cisco ASA o FTD: 1. Inicie sesión en el dispositivo sospechoso CLI. 2. Nota: En los dispositivos que están ejecutando Cisco FTD Software, cambien al Cisco ASA CLI utilizando el comando diagnóstico-cli de soporte del sistema. 3. Utiliera el comando de habilitación para cambiar en modo EXEC privilegiado. 4. Nota: En los dispositivos que ejecutan Cisco FTD Software, la contraseña de habilitación está en blanco. 5. Recolecte las salidas de los comandos siguientes: - Versión de show - Verificar /SHA-512 system:memory/text - Mfemoria de menú debug 6. Abra un caso con el Centro de Asistencia Técnica de Cisco (TAC). En el caso, haga referencia a la palabra clave ArcaneDoor y suba los datos que se recogió en el Paso 3.
Prioridad: Alta
Indicadores de Compromiso (IoC):
Infraestructura desplazada por Actor:
192.36.57[.]181
185.167.60[.]85
185.227.111[.]17
176.31.18[.]153
172.105.90[.]154
185.244.210[.]120
45.86.163[.]224
172.105.94[.]93
213.156.138[.]77
89.44.198[.]189
45.77.52[.]253
103.114.200[.]230
212.193.2[.]48
51.15.145[.]37
89.44.198[.]196
131.196.252[.]148
213.156.138[.]78
121.227.168[.]69
213.156.138[.]68
194.4.49[.]6
185.244.210[.]65
216.238.75[.]155
Infraestructura multi-Tenant:
5.183.95[.]95
45.63.119[.]131
45.76.118[.]87
45.77.54[.]14
45.86.163[.]244
45.128.134[.]189
89.44.198[.]16
96.44.159[.]46
103.20.222[.]218
103.27.132[.]69
103.51.140[.]101
103.119.3[.]230
103.125.218[.198
104.156.232[.]22
107.148.19[.]88
107.172.16[.]208
107.173.140[.]111
121.37.174[.]139
139.162.135[.]12
149.28.166[.]244
152.70.83[.]47
154.22.235[.]13
154.22.235[.]17
154.39.142[.]47
172.233.245[.]241
185.123.101[.]250
192.210.137[.]35
194.32.78[.]183
205.234.232[.]196
207.148.74[.]250
216.155.157[.]136
216.238.66[.]251
216.238.71[.]49
216.238.72[.]201
216.238.74[.]95
216.238.81[.]149
216.238.85[.]220
216.238.86[.]24
CVE-2024-20353: Denegación de servicio.
CVE-2024-20359: Ejecución de código local persistente.
Comments