Hoạt động gián điệp này, có tên gọi “ArcaneDoor”, chủ yếu nhắm vào các dịch vụ VPN được sử dụng bởi các chính phủ và các cơ sở hạ tầng quan trọng trên toàn cầu. Các kẻ xâm nhập đã khai thác hai lỗ hổng cụ thể trong các thiết bị Cisco Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD), được xác định là CVE-2024-20353 và CVE-2024-20359. Những lỗ hổng này có thể cho phép kẻ tấn công từ xa không qua xác thực gây ra gián đoạn và thực thi mã tùy ý với quyền root.
Các cuộc tấn công mạng liên quan đến việc triển khai phần mềm độc hại tùy chỉnh, bao gồm cả thành phần nằm trong bộ nhớ “Line Dancer,” được sử dụng để tải lên và thực thi các tải trọng shellcode tùy ý, và “Line Runner,” một web shell liên tục cho phép kẻ xâm nhập duy trì quyền truy cập vào các mạng bị xâm phạm và thực hiện lệnh.
Các tường lửa bị xâm phạm đã được khai thác để thực hiện các hoạt động như vô hiệu hóa nhật ký, chạy và đưa ra cấu hình lệnh, và khởi tạo các kết nối VPN không được phép. Điều này cho phép kẻ tấn công không chỉ đánh cắp thông tin nhạy cảm mà còn duy trì sự hiện diện lén lút trong các mạng mục tiêu, né tránh phân tích pháp y.
Vụ việc này nhấn mạnh mối đe dọa liên tục từ các nhà hoạt động nhà nước tinh vi, làm nổi bật nhu cầu cần thiết phải tăng cường cảnh giác và các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại những mối đe dọa mạng tinh vi như vậy.
Source: The Register
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.