I ricercatori di Cisco Talos hanno individuato una nuova campagna di spionaggio, denominata ArcaneDoor, che sfrutta due vulnerabilità zero-day presenti nei dispositivi Adaptive Security Appliances (ASA) di Cisco (firewall, VPN e altre funzionalità di sicurezza) per installare backdoor nelle reti governative. Gli attacchi, scoperti all’inizio di gennaio 2024, erano in corso da novembre 2023, ma gli exploit sono stati sviluppati e testati dal mese di luglio 2023.
Line Dancer e Line Runner
Dopo aver ricevuto la segnalazione da un cliente, Cisco Talos ha rilevato attività sospette su un dispositivo ASA all’inizio del 2024. Durante l’indagine sono state trovate tracce che confermano lo sviluppo degli exploit a luglio 2023 e i primi attacchi a novembre 2023. Al momento non è stato però individuato il vettore di accesso iniziale. I cybercriminali sono stati identificati come UAT4356 da Cisco Talos e Storm-1849 dal Microsoft Threat Intelligence Center.
La prima backdoor è Line Dancer. Si tratta di un interpreter di shellcode caricato in memoria che permette di caricare ed eseguire payload arbitrari. Il malware riceve comandi per varie azioni, tra cui la disattivazione del syslog, l’esfiltrazione della configurazione e l’accesso remoto tramite tunnel VPN senza autenticazione.
Line Runner è invece la backdoor che permette di creare la persistenza. Sfruttando al vulnerabilità CVE-2024-20359, i cybercriminali copiano un file Lua che viene eseguito all’avvio del dispositivo. Il processo viene facilitato dalla vulnerabilità CVE-2024-20353 che causa il riavvio tramite DoS (Denial of Service).
Cisco Talos spiega come rilevare la presenza di Line Runner e consiglia ovviamente di installare le patch rilasciate il 24 aprile.