logo
Ирония безопасности
Только противоречивые советы помогают по настоящему понять, что такое безопасность
Поиск
Вход
Регистрация
logo
Ирония безопасности  Только противоречивые советы помогают по настоящему понять, что такое безопасность
Подписаться
08.05.2024 07:43
logo Ирония безопасности

ArcaneDoor

В ‎кампании‏ ‎по ‎кибершпионажу ‎ArcaneDoor, ‎которая ‎началась‏ ‎в ‎ноябре‏ ‎2023‏ ‎года, ‎участвовали ‎хакеры,‏ ‎спонсируемые ‎государством,‏ ‎которые ‎использовали ‎две ‎0day‏ ‎уязвимости‏ ‎в ‎продуктах‏ ‎Cisco ‎Adaptive‏ ‎Security ‎Appliance ‎(ASA) ‎и ‎Firepower‏ ‎Threat‏ ‎Defense ‎(FTD).

📌0-day: Хакеры‏ ‎использовали ‎две‏ ‎уязвимости ‎нулевого ‎дня, ‎CVE-2024-20353 ‎и‏ ‎CVE-2024-20359,‏ ‎которые‏ ‎позволяли ‎проводить‏ ‎DoS-атаки ‎типа‏ ‎«отказ ‎в‏ ‎обслуживании»‏ ‎и ‎выполнение‏ ‎кода.

📌Сложное ‎внедрение ‎вредоносных ‎программ: ‎Злоумышленники‏ ‎внедрили ‎два‏ ‎типа‏ ‎вредоносных ‎программ ‎—‏ ‎Line ‎Dancer‏ ‎и ‎Line ‎Runner. ‎Line‏ ‎Dancer‏ ‎— ‎это‏ ‎загрузчик ‎шеллкода‏ ‎в ‎памяти, ‎который ‎облегчает ‎выполнение‏ ‎произвольных‏ ‎полезных ‎нагрузок‏ ‎шеллкода, ‎в‏ ‎то ‎время ‎как ‎Line ‎Runner‏ ‎—‏ ‎это‏ ‎бэкдор, ‎который‏ ‎позволяет ‎злоумышленникам‏ ‎запускать ‎произвольный‏ ‎Lua-код‏ ‎на ‎скомпрометированных‏ ‎системах.

📌Глобальное ‎воздействие: ‎Кампания ‎была ‎нацелена‏ ‎на ‎госсектор,‏ ‎используя‏ ‎уязвимости ‎для ‎получения‏ ‎доступа ‎к‏ ‎конфиденциальной ‎информации ‎и ‎потенциального‏ ‎осуществления‏ ‎дальнейших ‎вредоносных‏ ‎действий, ‎таких‏ ‎как ‎утечка ‎данных ‎и ‎горизонтальное‏ ‎перемещение‏ ‎внутри ‎сетей.

📌Реакция‏ ‎и ‎меры‏ ‎по ‎устранению: Cisco ‎отреагировала ‎на ‎это‏ ‎выпуском‏ ‎обновлений‏ ‎для ‎системы‏ ‎безопасности, ‎исправляющих‏ ‎уязвимости, ‎и‏ ‎выпустила‏ ‎рекомендации, ‎призывающие‏ ‎клиентов ‎обновить ‎свои ‎устройства. ‎Они‏ ‎также ‎рекомендовали‏ ‎отслеживать‏ ‎системные ‎журналы ‎на‏ ‎наличие ‎признаков‏ ‎компрометации, ‎таких ‎как ‎незапланированные‏ ‎перезагрузки‏ ‎или ‎несанкционированные‏ ‎изменения ‎конфигурации.

📌Внимание‏ ‎к ‎атрибуции ‎и ‎шпионажу: Хакерская ‎группа,‏ ‎идентифицированная‏ ‎Cisco ‎Talos‏ ‎как ‎UAT4356,‏ ‎а ‎Microsoft ‎— ‎как ‎STORM-1849,‏ ‎продемонстрировала‏ ‎явную‏ ‎направленность ‎на‏ ‎шпионаж. ‎Считается,‏ ‎что ‎кампания‏ ‎спонсировалась‏ ‎государством, ‎и‏ ‎некоторые ‎источники ‎предполагают, ‎что ‎за‏ ‎атаками ‎может‏ ‎стоять‏ ‎Китай.

📌Тенденция ‎нацеливания ‎на‏ ‎устройства ‎периметра‏ ‎сети: ‎инцидент ‎является ‎частью‏ ‎тенденции,‏ ‎когда ‎спонсируемые‏ ‎государством ‎субъекты‏ ‎нацеливаются ‎на ‎устройства ‎периметра ‎сети,‏ ‎такие‏ ‎как ‎брандмауэры‏ ‎и ‎VPN,‏ ‎чтобы ‎получить ‎первоначальный ‎доступ ‎к‏ ‎целевым‏ ‎сетям‏ ‎в ‎целях‏ ‎шпионажа

#новости #ArcaneDoor #ирониябезопасности
Предыдущий Следующий
Все посты проекта

Контакты

Поделиться

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.
Добавить карту
0/2048
Отменить