{"id":6556,"date":"2024-05-07T09:47:29","date_gmt":"2024-05-07T07:47:29","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6556"},"modified":"2024-05-07T09:47:29","modified_gmt":"2024-05-07T07:47:29","slug":"arcanedoor-cisco-ranjivosti","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/","title":{"rendered":"ArcaneDoor: Cisco ranjivosti"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/blog.talosintelligence.com\/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices\/\" target=\"_blank\" rel=\"noopener\"><em>ArcaneDoor<\/em> je kampanja sajber napada<\/a> koja cilja <em>Cisco Adaptive Security Appliances<\/em> \u2013 <em>ASA<\/em> kroz ranije nepoznate ranjivosti (<a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asaftd-websrvs-dos-X8gNucD2\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-20353<\/em><\/a>, <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asaftd-cmd-inj-ZJV8Wysm\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-20358<\/em><\/a> i <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asaftd-persist-rce-FLsNXF4h\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-20359<\/em><\/a>). Napada\u010di, za koje se vjeruje da su <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">grupe koje sponzori\u0161e dr\u017eava<\/a> (eng. <em>Advanced persistent threat<\/em> \u2013 <em>APT<\/em>) <em>UAT4356<\/em> ili <em>STORM-1849<\/em>, dobili su pristup vladinim objektima \u0161irom sveta iskori\u0161\u0107avanjem ovih ranjivosti. Kampanja je po\u010dela u novembru 2023. godine i dostigla vrhunac od decembra 2023. godine do januara 2024. godine kada je identifikovana prva \u017ertva.<\/span><\/p>\n<div id=\"attachment_6559\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6559\" class=\"size-full wp-image-6559\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign.jpg\" alt=\"ArcaneDoor\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ArcaneDoor-campaign-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6559\" class=\"wp-caption-text\"><em>ArcaneDoor: Cisco ranjivosti; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#ARCANEDOOR_KAMPANJA\">ARCANEDOOR KAMPANJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#RANJIVOSTI\">RANJIVOSTI<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#CVE-2024-20353\">CVE-2024-20353<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#CVE-2024-20358\">CVE-2024-20358<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#CVE-2024-20359\">CVE-2024-20359<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#ZLONAMJERNI_IMPLANTI\">ZLONAMJERNI IMPLANTI<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#Line_Dancer\">Line Dancer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#Line_Runner\">Line Runner<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/07\/arcanedoor-cisco-ranjivosti\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"ARCANEDOOR_KAMPANJA\"><\/span><strong><span style=\"font-size: 14pt;\"><em>ARCANEDOOR<\/em> KAMPANJA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kampanja <em>ArcaneDoor<\/em> je sajber napad koji su izveli <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/20\/hakeri-upoznavanje-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">hakeri<\/a> sponzorisani od strane dr\u017eave koji su iskoristili dvije ranjivosti <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> u <em>Cisco<\/em> za\u0161titnim zidovima izme\u0111u kraja 2023. godine i po\u010detka 2024. godine. Ovaj napad je bio usmjeren na vladine mre\u017ee \u0161irom sveta, demonstriraju\u0107i napredne anti-forenzi\u010dke mogu\u0107nosti i postojanost zasnovanu na <em>HTTP<\/em> protokolu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kampanja je po\u010dela kada su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">napada\u010di<\/a> identifikovali i iskoristili dvije ranije nepoznate ranjivosti (nultog dana) u <em>Cisco<\/em> za\u0161titnim zidovima. Rije\u010d je o perimetarskim mre\u017enim ure\u0111ajima koji su posebno privla\u010dne mete za \u0161pijunske aktere, jer obezbje\u0111uju direktnu ta\u010dku upada u osjetljive mre\u017ee. Ove ranjivosti su im omogu\u0107ile da steknu upori\u0161te na ciljanim ure\u0111ajima i uspostave trajno prisustvo, omogu\u0107avaju\u0107i dalji upad u osjetljive mre\u017ee. Prvi izvje\u0161taji o ovoj aktivnosti pojavili su se oko decembra 2023. godine, ali se vjeruje da je kampanja po\u010dela nekoliko mjeseci ranije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je ve\u0107 re\u010deno, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> <em>ArcaneDoor<\/em> pokazao je napredne anti-forenzi\u010dke sposobnosti da izbjegne otkrivanje i pripisivanje. Modifikovao je jezgro <em>dump<\/em> funkcije, onemogu\u0107io evidentiranje i zaka\u010dio se na procese autentifikacije da bi sakrio svoje aktivnosti. Ove operativne bezbjednosne mjere, u kombinaciji sa upotrebom namjenskih implantata i vezanim ranjivostima nultog dana, sna\u017eno su sugerisale da je u pitanju zlonamjerni akter koji\u00a0 sponzori\u0161e dr\u017eava \u2013 <em>APT<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cNa\u0161a procjena pripisivanja zasnovana je na viktimologiji, zna\u010dajnom nivou specifi\u010dnog znanja koje se koristi u smislu razvoja sposobnosti i anti-forenzi\u010dkih mjera, i identifikaciji i naknadnom povezivanju ranjivosti nultog dana. Iz ovih razloga, sa velikim povjerenjem ocjenjujemo da je ove radnje izvr\u0161io akter koji je sponzorisala dr\u017eava.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Cisco Talos security team &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Primarni cilj napada\u010da je bio da dobiju pristup kriti\u010dnim sistemima, omogu\u0107avaju\u0107i im da krenu dublje u organizaciju i nadgledaju mre\u017ene komunikacije ili preusmjere saobra\u0107aj po potrebi. Kampanja je naglasila va\u017enost odr\u017eavanja a\u017euriranih verzija i konfiguracija hardvera i softvera za perimetarske ure\u0111aje i pa\u017eljivog pra\u0107enja njihove bezbjednosti iz proaktivne perspektive. Pored toga, kampanja <em>ArcaneDoor<\/em> predstavlja jedan od mnogih teku\u0107ih napora dr\u017eavno sponzorisanih hakera da iskoriste ranjivosti u kriti\u010dnoj infrastrukturi, pokazuju\u0107i potrebu za kontinuiranom budno\u0161\u0107u i sna\u017enim mjerama sajber bezbjednosti za za\u0161titu od takvih prijetnji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"RANJIVOSTI\"><\/span><strong><span style=\"font-size: 14pt;\">RANJIVOSTI<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U ovo kampanji, zlonamjerni akteri su koristili ranjivosti nultog dana da bi dobili pristup <em>Cisco<\/em> <em>ASA<\/em> ure\u0111ajima u svrhe \u0161pijuna\u017ee. Ove ranjivosti nisu kori\u0161\u0107ene za po\u010detni pristup, ve\u0107 su umjesto toga omogu\u0107ile napada\u010dima da instaliraju prilago\u0111eni zlonamjerni softver i odr\u017eavaju postojanost tokom ponovnog pokretanja ure\u0111aja. Dok je vektor napada koji se koristi za obezbje\u0111ivanje po\u010detnog pristupa napada\u010dima i dalje nepoznat, kompanija <em>Cisco<\/em> je pru\u017eila detalje o specifi\u010dnim ranjivostima kori\u0161\u0107enim tokom kampanje:<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CVE-2024-20353\"><\/span><strong><span style=\"font-size: 14pt;\"><em>CVE-2024-20353<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ova ranjivost je ozna\u010dena kao kriti\u010dna sa <em>CVSS<\/em> ocjenom od <em>8.6<\/em> od mogu\u0107ih <em>10<\/em> i uti\u010de na upravljanje i <em>VPN<\/em> internet servere u <em>Cisco ASA FTD<\/em> softveru. Neovla\u0161teni udaljeni napada\u010d mo\u017ee da iskoristi ovu ranjivost da izazove neo\u010dekivano ponovno u\u010ditavanje ure\u0111aja, \u0161to dovodi do stanja uskra\u0107ivanja usluge (<em>DoS<\/em>). To zna\u010di da napada\u010d izvan mre\u017ee mo\u017ee potencijalno u\u010diniti da pogo\u0111eni <em>Cisco<\/em> ure\u0111aj prestane ispravno da funkcioni\u0161e tako \u0161to \u0107e iskoristiti ovu slabost.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CVE-2024-20358\"><\/span><strong><span style=\"font-size: 14pt;\">CVE-2024-20358<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ova ranjivost je nedostatak ubrizgavanja komande u <em>Cisco ASA FTD<\/em> softveru i kod <em>CVE-2024-20353<\/em> i <em>CVE-2024-20359<\/em>. Otkrivena je tokom internog bezbjednosnog testiranja, ima <em>CVSS<\/em> ocjenu 6,0 i omogu\u0107ava napada\u010du da ubrizga komande u pogo\u0111eni sistem sa privilegijama na <em>root<\/em> nivou. Me\u0111utim, va\u017eno je napomenuti da se ova ranjivost ne koristi aktivno kao dio kampanje <em>ArcaneDoor<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CVE-2024-20359\"><\/span><strong><span style=\"font-size: 14pt;\">CVE-2024-20359<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ova ranjivost postojana gre\u0161ka\u00a0 u izvr\u0161avanju lokalnog k\u00f4da u <em>Cisco ASA FTD<\/em> softveru. Omogu\u0107ava autentifikovanom, lokalnom napada\u010du da izvr\u0161i proizvoljan k\u00f4d sa privilegijama na <em>root<\/em> nivou. Potrebne su privilegije na nivou administratora da bi se iskoristila ova ranjivost, \u0161to zna\u010di da napada\u010d mora imati va\u017ee\u0107i pristup sistemu da bi ga iskoristio. Ranjivost je identifikovana kao dio ove kampanje i aktivno se koristi od po\u010detka januara 2024.\u00a0 godine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZLONAMJERNI_IMPLANTI\"><\/span><strong><span style=\"font-size: 14pt;\">ZLONAMJERNI IMPLANTI<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ranjivost <em>CVE-2024-20353<\/em> i <em>CVE-2024-20359<\/em> koje se aktivno iskori\u0161tavaju su omogu\u0107ile zlonamjernim akterima da primjene ranije nepoznati zlonamjerni softver\u00a0 i odr\u017ee upornost na kompromitovanim <em>ASA<\/em> i <em>FTD<\/em> ure\u0111ajima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Line_Dancer\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Line Dancer<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ovo je prvi zlonamjerni implant koji koriste zlonamjerni akteri i\u00a0 predstavlja sofisticirani dio softvera za sajber \u0161pijuna\u017eu koji je postavio zlonamjerni <em>APT<\/em> akter pod nazivom <em>UAT4356<\/em>, tako\u0111e poznat kao <em>STORM-1849<\/em>. Ovaj zlonamjerni softver je prvi put identifikovan po\u010detkom 2024. godine kada je <em>Cisco<\/em> <em>Talos<\/em> primio izvje\u0161taje od korisnika o sumnjivim aktivnostima na njihovim <em>Cisco<\/em> <em>ASA<\/em> ure\u0111ajima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Line<\/em> <em>Dancer<\/em> je dizajniran da pru\u017ei napada\u010dima strate\u0161ki pristup za \u0161pijuna\u017eu manipulisanjem perimetarskim mre\u017enim ure\u0111ajima, kao \u0161to su <em>Cisco<\/em> <em>ASA<\/em>. Zlonamjerni softver omogu\u0107ava napada\u010dima da preusmjere ili nadgledaju mre\u017eni saobra\u0107aj bez prethodne autentifikacije, \u0161to ga \u010dini efikasnim alatom za aktivnosti sajber \u0161pijuna\u017ee. Zlonamjerni softver <em>Line<\/em> <em>Dancer <\/em>se primjenjuje pomo\u0107u dvije ranjivosti nultog dana (<em>CVE-2024-20353<\/em> i <em>CVE-2024-20359<\/em>) koje su napada\u010di koristili od novembra 2023. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>Line<\/em> <em>Dancer<\/em> koristi tehniku koja se zove \u201cinterpretator komandnog okru\u017eenja u memoriji\u201d za izvr\u0161avanje proizvoljnih komandi direktno na ure\u0111aju. Ovaj metod izbjegava ostavljanje forenzi\u010dkih tragova i komplikuje otkrivanje, jer nema datoteka ili procesa povezanih sa zlonamjernim softverom. Napada\u010di mogu da iskoriste ovu sposobnost za obavljanje razli\u010ditih radnji kao \u0161to su eksfiltracija podataka, izvi\u0111anje i bo\u010dno kretanje unutar mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Line_Runner\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Line Runner<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Drugi implant koji zlonamjerni akteri koriste je <em>Line<\/em> <em>Runner<\/em> i on je vrsta <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjernog softvera kao dio kampanje <em>ArcaneDoor<\/em>. Napada\u010di koriste ovaj implant za odr\u017eavanje postojanosti na kompromitovanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Line<\/em> <em>Runner<\/em> je sofisticirani zlonamjerni implant koji je posebno dizajniran za mre\u017ene ure\u0111aje, \u0161to ga \u010dini izazovnim za razvoj zbog ograni\u010denja proizvo\u0111a\u010da direktnom pristup operativnom sistemu i sistemu datoteka. Napada\u010di su morali da sprovedu opse\u017ean razvojni ciklus i koriste napredne tehni\u010dke vje\u0161tine da bi kreirali ovaj prilago\u0111eni zlonamjerni softver. Primarna funkcija <em>Line<\/em> <em>Runner<\/em> zlonamjernog softvera je da obezbijedi <em>backdoor<\/em> za daljinski pristup, omogu\u0107avaju\u0107i napada\u010dima da izvr\u0161avaju komande na kompromitovanim sistemima po \u017eelji. Ova vrsta trajnog pristupa omogu\u0107ava zlonamjernim akterima da sprovode razli\u010dite aktivnosti kao \u0161to su eksfiltracija podataka, izvi\u0111anje i dalja eksploatacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Proces instalacije zlonamjernog softvera je slo\u017een i uklju\u010duje nekoliko koraka: Prvo, napada\u010di dodaju komande u <em>\/etc\/init.d\/unmountfs<\/em> skriptu koja je jedna od posljednjih skripti pokrenutih pre ponovnog pokretanja ure\u0111aja. Ove komande kopiraju <em>Line<\/em> <em>Runner<\/em> <em>ZIP<\/em> datoteku sa administrativno nedostupne lokacije na <em>disk0<\/em>. Nakon instalacije, <em>Line<\/em> <em>Runner<\/em> se bri\u0161e sa diska da bi izbjegao detekciju i sprije\u010dio analizu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Mogu\u0107nosti <em>Line<\/em> <em>Runner<\/em> zlonamjernog softvera uklju\u010duju:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Napada\u010di mogu da izvr\u0161e proizvoljne komande na kompromitovanim sistemima preko ovog zlonamjernog softvera u pozadini,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver osigurava da njegovo prisustvo ostane aktivno \u010dak i nakon ponovnog pokretanja ure\u0111aja, omogu\u0107avaju\u0107i napada\u010dima da zadr\u017ee dugoro\u010dan pristup i kontrolu nad ure\u0111ajem,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Line<\/em> <em>Runner<\/em> je dizajniran da izbjegne detekciju od strane bezbjednosnih rje\u0161enja, \u0161to ote\u017eava organizacijama da identifikuju kompromitovane sisteme u svojim mre\u017eama,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver se mo\u017ee prilagoditi na osnovu specifi\u010dnih ciljeva ili zahteva, omogu\u0107avaju\u0107i napada\u010dima da prilagode implant kako bi efikasno odgovarao njihovim ciljevima.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kampanja <em>ArcaneDoor<\/em> je sofisticirana i stalna prijetnja <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> koja cilja perimetarske mre\u017ene <em>Cisco<\/em> <em>ASA <\/em>ure\u0111aje. Inicijalni vektor pristupa za ovu kampanju ostaje nepoznat, ali ono \u0161to se zna je da nacionalno sponzorisani hakeri i finansijski motivisane grupe iskori\u0161tavaju ili poznate ili ranjivosti nultog dana u ovim ure\u0111ajima da bi dobili po\u010detni pristup, kretali se bo\u010dno unutar mre\u017ea i eksfiltrirati podatke. Kori\u0161tenje vi\u0161estrukih ranjivosti nultog dana sugeri\u0161e visok nivo sofisticiranosti i planiranja od strane zlonamjernog aktera. Za sada se vjeruje da su zlonamjerni akteri koji stoje iza ove kampanje sponzorisani od strane dr\u017eave, iako nije potvr\u0111eno koju dr\u017eavu predstavljaju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istraga o kampanji <em>ArcaneDoor<\/em> je podsjetnik da se prijetnje po sajber bezbjednost stalno razvijaju i da organizacije moraju ostati budne kako bi bile ispred napada\u010da. Informisanjem o novim prijetnjama i primjenom sna\u017enih bezbjednosnih mjera, organizacije mogu da smanje rizik da postanu meta i da smanje uticaj bilo kakvog potencijalnog ugro\u017eavanja poslovanja ili podataka.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cPerimetarski mre\u017eni ure\u0111aji su savr\u0161ena ta\u010dka upada za kampanje fokusirane na \u0161pijuna\u017eu. Kao kriti\u010dan put za podatke u mre\u017eu i van nje, ovi ure\u0111aji moraju biti rutinski i brzo zakrpljeni; kori\u0161tenjem najnovijih verzija i konfiguracija hardvera i softvera; i pa\u017eljivo pra\u0107eni iz bezbjednosne perspektive. Sticanje upori\u0161ta na ovim ure\u0111ajima omogu\u0107ava akteru da se direktno centrira u organizaciju, preusmjeri ili modifikuje saobra\u0107aj i nadgleda mre\u017ene komunikacije.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Cisco Talos security team &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se za\u0161titi od prijetnji kao \u0161to je <em>ArcaneDoor<\/em>, korisnici i organizacije mogu preduzeti sljede\u0107e korake:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati mre\u017enu opremu a\u017eurnom sa najnovijim bezbjednosnim ispravkama i a\u017euriranjima softvera. U ovom slu\u010daju, <em>Cisco<\/em> je objavio bezbjednosne ispravke kako bi popravio dvije ranjivosti nultog dana koje je iskoristio <em>ArcaneDoor<\/em>. Instaliranje ovih a\u017euriranja je klju\u010dno za za\u0161titu <em>ASA<\/em> ure\u0111aja od potencijalnih napada,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementacija sna\u017enih mehanizama autentifikacije kao \u0161to je autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) na svu mre\u017enu opremu i kriti\u010dne sisteme. Ovo dodaje dodatni sloj bezdu\u0161nosti, \u0161to ote\u017eava napada\u010dima da dobiju neovla\u0161teni pristup \u010dak i ako uspiju da iskoriste ranjivost,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno nadgledanje sistemske evidencije za bilo kakve znake neplaniranih ponovnog pokretanja, neovla\u0161tene promjene konfiguracije ili sumnjive aktivnosti akreditiva. Anomalno pona\u0161anje u datotekama evidencije mo\u017ee ukazivati na poku\u0161aj upada i trebalo bi da se odmah istra\u017ei,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti evidentiranje na svim mre\u017enim ure\u0111ajima i osigurajte da se evidencije \u0161alju na centralnu, bezbjednu lokaciju gdje se mogu efikasno analizirati. Ovo \u0107e pomo\u0107i da se efikasnije otkriju potencijalne prijetnje i odgovori na njih,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati smjernice kontrole pristupa koje ograni\u010davaju koji ure\u0111aji ili korisnici imaju dozvolu da izvr\u0161e odre\u0111ene promjene konfiguracije u okru\u017eenju. Ograni\u010davanjem pristupa kriti\u010dnim funkcijama smanjuje se <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ina napada<\/a> za potencijalne zlonamjerne aktere,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pregledati i a\u017eurirajte bezbjednosne politike mre\u017ee kako bi se osiguralo da su uskla\u0111ene sa trenutnim prijetnjama i najboljim praksama. Ovo uklju\u010duje efikasno konfigurisanje za\u0161titnih zidova, sistema za otkrivanje upada (<em>IDS<\/em>) i drugih bezbjednosnih kontrola,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno vr\u0161iti edukaciju korisnika o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napadima<\/a> i taktikama dru\u0161tvenog in\u017eenjeringa koje bi se mogle koristiti za dobijanje po\u010detnog pristupa sistemu ili mre\u017ei. Ljudski faktor je \u010desto najslabija karika u bilo kojoj bezbjednosnoj strategiji, tako da ulaganje vremena i resursa u obuku o svijesti korisnika mo\u017ee da donese zna\u010dajnu korist tokom vremena,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti strategije segmentacije mre\u017ee kako bi se ograni\u010dilo \u0161irenje prijetnji unutar okru\u017eenja. Izolovanjem kriti\u010dnih sistema od manje osjetljivih oblasti, smanjuje se potencijalni uticaj uspje\u0161nog napada na poslovanje organizacije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti informisan o novim prijetnjama i ranjivostima u industriji ili sektoru tako \u0161to \u0107ete se pratiti relevantne bezbjednosne liste elektronske po\u0161te, pratiti <a href=\"https:\/\/sajberinfo.com\/en\/\" target=\"_blank\" rel=\"nofollow noopener\">pouzdane izvore vesti<\/a> o sajber bezbjednosti i sara\u0111ivati sa kolegama i stru\u010dnjacima u zajednici. Ovo \u0107e pomo\u0107i da se ostane ispred potencijalnih opasnosti kada su u pitanju nove prijetnje i doprinijeti boljoj pripremljenosti za odbranu od istih.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>ArcaneDoor je kampanja sajber napada koja cilja Cisco Adaptive Security Appliances \u2013 ASA kroz ranije nepoznate ranjivosti (CVE-2024-20353, CVE-2024-20358 i CVE-2024-20359). Napada\u010di, za koje se vjeruje da su grupe koje sponzori\u0161e dr\u017eava (eng. Advanced&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6559,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1171,1170,1172,352,1179,1019,1178,93,1177,1174,1176,1175,1173],"class_list":["post-6556","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-adaptive-security-appliances","tag-arcanedoor","tag-asa","tag-cisco","tag-cyber-espionage","tag-cybersecurity-threat","tag-edge-network-appliances","tag-malware","tag-persistent-access","tag-state-sponsored-actors","tag-storm-1849","tag-uat4356","tag-zero-day-vulnerability"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6556"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6556\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6559"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}