Esta operación de espionaje, apodada “ArcaneDoor,” se centró principalmente en los servicios VPN utilizados por gobiernos y entidades de infraestructura crítica a nivel mundial. Los intrusos explotaron dos vulnerabilidades específicas en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), identificadas como CVE-2024-20353 y CVE-2024-20359. Estas vulnerabilidades podrían permitir a atacantes remotos no autenticados causar interrupciones y ejecutar código arbitrario con privilegios de nivel raíz.
Los ciberataques implicaron la implementación de malware personalizado, incluyendo el implante en memoria “Line Dancer,” utilizado para cargar y ejecutar cargas útiles de shellcode arbitrario, y “Line Runner,” un web shell persistente que permite a los intrusos mantener acceso a redes comprometidas y ejecutar comandos.
Los firewalls comprometidos fueron explotados para llevar a cabo actividades como deshabilitar registros, ejecutar y extraer configuraciones de comandos e iniciar conexiones VPN no autorizadas. Esto permitió a los atacantes no solo robar información sensible sino también mantener una presencia sigilosa dentro de las redes objetivo, evadiendo análisis forenses.
Este incidente subraya las amenazas continuas planteadas por actores sofisticados de estados nación, resaltando la necesidad crítica de una vigilancia mejorada y medidas de ciberseguridad robustas para proteger contra tales amenazas cibernéticas sofisticadas.
Source: The Register
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.