Эта шпионская операция, получившая название “ArcaneDoor”, в основном была направлена на VPN-сервисы, используемые правительствами и субъектами критической инфраструктуры по всему миру. Злоумышленники использовали две конкретные уязвимости в устройствах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), идентифицированные как CVE-2024-20353 и CVE-2024-20359. Эти уязвимости позволяли неаутентифицированным удаленным атакующим вызывать сбои и выполнять произвольный код с правами администратора.
В рамках кибератак было использовано специально разработанное вредоносное ПО, включая имплантат в памяти “Line Dancer”, предназначенный для загрузки и выполнения произвольных полезных нагрузок шелл-кода, а также “Line Runner” – постоянный веб-шелл, позволяющий злоумышленникам поддерживать доступ к скомпрометированным сетям и выполнять команды.
Злоумышленники использовали скомпрометированные фаерволы для выполнения таких действий, как отключение журналирования, выполнение и эксфильтрация конфигураций команд и инициирование неавторизованных VPN-соединений. Это позволило атакующим не только красть конфиденциальную информацию, но и поддерживать скрытое присутствие в целевых сетях, уклоняясь от форензического анализа.
Этот инцидент подчеркивает постоянные угрозы со стороны сложных государственных акторов, подчеркивая критическую необходимость усиленной бдительности и надежных мер кибербезопасности для защиты от таких сложных киберугроз.
Source: The Register
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.