Chiến dịch tấn công của nhóm tin tặc này có tên là ArcaneDoor. Về phía Cisco vẫn chưa xác định được hướng tấn công ban đầu, nhưng hãng đã giải quyết 2 lỗ hổng zero-day CVE-2024-20353 (tấn công từ chối dịch vụ) và CVE-2024-20359 (thực thi mã cục bộ liên tục).
Hai lỗ hổng này cho phép kẻ tấn công khai thác để triển khai phần mềm độc hại và nằm vùng trên các thiết bị ASA và FTD bị nhiễm.
Phần mềm độc hại được đặt ẩn đầu tiên là Line Dancer, một công cụ tải shellcode vào bộ nhớ để vận chuyển và thực thi payload shellcode tùy ý trên hệ thống. Mục tiêu của các shellcode này bao gồm vô hiệu hóa ghi log, cho phép truy cập từ xa và trích xuất gói tin bắt được.
Phần mềm độc hại đặt ẩn thứ hai (backdoor) có tên Line Runner, đi kèm với nhiều cơ chế phòng thủ tránh phát hiện để tránh phát hiện và cho phép chạy mã Lua (ngôn ngữ lập trình) tùy ý trên các hệ thống mục tiêu.
Trung tâm An ninh Mạng Quốc gia của Anh, Canada, Úc cho biết thêm về việc nhóm tấn công đã sử dụng quyền truy cập của họ để thực hiện các hành động sau:
- Sao chép thông tin cấu hình của thiết bị và gửi đi thông qua các yêu cầu web để thu thập thông tin từ các thiết bị mục tiêu.
- Điều khiển việc kích hoạt và vô hiệu hóa dịch vụ syslog của thiết bị để khó bị phát hiện
- Điều khiển và quản lý quyền truy cập vào hệ thống từ xa, thậm chí có thể tạo ra các tài khoản giả mạo hoặc không được phép để truy cập vào các thiết bị mạng.
Cisco khuyến cáo người dùng nên cập nhật bản vá, theo dõi các log hệ thống và cung cấp hướng dẫn về cách xác minh tính toàn vẹn của các thiết bị ASA hoặc FTD.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment