ArcaneDoor es una reciente campaña de ciberespionaje detectada por investigadores de Cisco Talos y llevada a cabo por ciberactores patrocinados por el estado, enfocada en dispositivos de red perimetral de múltiples proveedores. Estos dispositivos son cruciales para la seguridad de las redes, ya que controlan la entrada y salida de datos, y son objetivos atractivos para el espionaje debido a su importancia estratégica. En el último tiempo se ha observado un aumento en los ataques a estos dispositivos, especialmente en sectores críticos como telecomunicaciones y energía.
Comunicado de Cisco
Cisco, como proveedor líder de infraestructura de red, identificó esta amenaza después de que un cliente alertara a su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT). A través de una investigación conjunta entre PSIRT y el equipo de inteligencia Talos, se descubrió a un nuevo actor, conocido como UAT4356 por Talos y STORM-1849 por Microsoft. Este actor demostró un alto nivel de sofisticación y habilidades avanzadas, utilizando herramientas personalizadas para el espionaje y el conocimiento profundo de los dispositivos atacados. Dos puertas traseras, "Line Runner" y "Line Dancer", fueron implementadas para llevar a cabo actividades maliciosas, como la modificación de configuraciones, reconocimiento, exfiltración de tráfico de red y potencial movimiento lateral
Vulnerabilidades explotadas
Cisco identificó dos vulnerabilidades asociadas a estos ataques, CVE-2024-20353 [CVSS: 8.6] y CVE-2024-20359 [CVSS: 6.0] (ambas informadas tan solo ayer 25 de abril 2024). Aunque el vector de ataque inicial no ha sido determinado, estas vulnerabilidades representan riesgos significativos para la seguridad de la red, para más detalle sobre estas vulnerabilidades visita el aviso de seguridad en nuestro Portal CCI.
Acceso inicial
Los investigadores aún se encuentran trabajando en encontrar el vector de acceso inicial para esta campaña, y no hay evidencia de explotación antes de la autenticación. La investigación sigue en curso, con actualizaciones previstas en futuros avisos de seguridad o publicaciones en el blog de Cisco.
El malware "Line Dancer" es un implante en memoria utilizado en la campaña. Actúa como un intérprete de shellcode, permitiendo a los atacantes cargar y ejecutar código arbitrario en dispositivos ASA comprometidos. Los atacantes envían comandos shellcode a través del campo host-scan-reply, el cual es procesado por el implante "Line Dancer". Este campo suele utilizarse en etapas posteriores del proceso de establecimiento de sesión SSL VPN, pero también es procesado por dispositivos ASA configurados para SSL VPN, IPsec IKEv2 VPN con "servicios de cliente" o acceso de administración HTTPS.
Persistencia
"Line Runner" es el mecanismo de persistencia utilizado por actores de amenazas para mantener una puerta trasera en dispositivos ASA comprometidos. Se basa en una funcionalidad heredada que permite la precarga de clientes VPN y complementos en el dispositivo. En dispositivos ASA, durante el arranque, busca archivos en el disco 0: que coincidan con la siguiente expresión regular de Lua:
Si el archivo existe, se descomprime y ejecuta el script csco_config[.]lua antes de eliminar el archivo ZIP. Esta vulnerabilidad fue asignada como CVE-2024-20359.
Además, los actores de amenazas pudieron aprovecharse de otra vulnerabilidad, bajo el CVE-2024-20353, para forzar el reinicio de dispositivos Cisco ASA. Este reinicio permitió descomprimir e instalar el segundo componente del implante de malware, "Line Runner", facilitando la persistencia.
Archivo ZIP malicioso
Los scripts insertos en el archivo zip permiten al actor de amenazas mantener una puerta trasera Lua persistente basada en HTTP para dispositivos Cisco ASA vulnerables, que persiste a través de reinicios y actualizaciones. Se observó que UAT4356 utilizaba Line Runner para recuperar información que se organizó mediante el uso de Line Dancer.
Ilustración 1: Archivos cargados en ZIP malicioso
Fuente: Blog Talos Intelligence
Capacidades de los ciberactores
Dispositivos expuestos LATAM
Efectuando una búsqueda de dispositivos Cisco ASA SSL VPN expuestos en LATAM se pudieron identificar 1.276 de 62.050 que existen a nivel mundial, estos (1.276) representan tan solo un 2,05% del total, pero el impacto que puede provocar este tipo de amenazas para una organización, sus proveedores o clientes puede ser mucho mayor. A continuación se muestra una distribución con el TOP 10 de los dispositivos expuestos (No necesariamente vulnerables) en LATAM.
Ilustración 2: Mapa con dispositivos Cisco ASA SSL VPN en Latam
Fuente: Grupo CTI Entel Digital
Línea de tiempo
Cisco recibió la primera alerta sobre estas actividades sospechosas en un dispositivo Cisco ASA a principios de 2024. La investigación posterior reveló víctimas adicionales, todas ellas relacionadas con redes gubernamentales a nivel mundial. Durante esta investigación, se descubrió infraestructura controlada por actores maliciosos que data de principios de noviembre de 2023, y se determinó que la mayoría de la actividad maliciosa ocurrió entre diciembre de 2023 y principios de enero de 2024. Además, se encontró evidencia que sugiere que esta capacidad se estaba probando y desarrollando desde julio de 2023.
Ilustración 3: Línea de tiempo de eventos
Fuente: Blog Talos Intelligence
Apreciación
La campaña de ArcaneDoor representa una seria amenaza para las redes informáticas debido a su sofisticación y enfoque en dispositivos de red perimetral. La capacidad de los atacantes para mantener la persistencia, evadir la detección y explotar vulnerabilidades críticas les permite obtener acceso no autorizado, modificar configuraciones y capturar tráfico de red. Estas acciones pueden tener impactos significativos, como espionaje, robo de datos y alteraciones del tráfico de red, afectando tanto a organizaciones privadas como a entidades gubernamentales.
Basado en los antecedentes expuestos en este boletín y las fechas de detección detalladas en la línea de tiempo, sugieren que estas vulnerabilidades ya habían sido descubiertas y explotadas previamente por este grupo de actores como 0 Day, por lo que se destaca un alto nivel de sofisticacion, investigacion y desarrollo para poder identificar vulnerabilidades previo a que las identifique el Vendor, lo que indirectamente se traduce en apoyo financiero importante propio de los ciberactores de estado nación.
Dada la naturaleza estratégica de los dispositivos de red perimetral y la persistencia mostrada por los atacantes, las organizaciones deben tomar medidas proactivas para proteger sus redes. Esto incluye la implementación de parches, el monitoreo continuo, la colaboración con expertos en ciberseguridad y la formación de empleados en prácticas de seguridad para minimizar el riesgo y mitigar posibles impactos.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
Campaña ArcaneDoor | - |
ip | 192.36.57[.]181 |
ip | 185.167.60[.]85 |
ip | 185.227.111[.]17 |
ip | 176.31.18[.]153 |
ip | 172.105.90[.]154 |
ip | 185.244.210[.]120 |
ip | 45.86.163[.]224 |
ip | 172.105.94[.]93 |
ip | 213.156.138[.]77 |
ip | 89.44.198[.]189 |
ip | 45.77.52[.]253 |
ip | 103.114.200[.]230 |
ip | 212.193.2[.]48 |
ip | 51.15.145[.]37 |
ip | 89.44.198[.]196 |
ip | 131.196.252[.]148 |
ip | 213.156.138[.]78 |
ip | 121.227.168[.]69 |
ip | 213.156.138[.]68 |
ip | 194.4.49[.]6 |
ip | 185.244.210[.]65 |
ip | 216.238.75[.]155 |