Campaña ArcaneDoor amenaza a dispositivos Cisco ASA

ArcaneDoor es una reciente campaña de ciberespionaje detectada por investigadores de Cisco Talos  y llevada a cabo por ciberactores patrocinados por el estado, enfocada en dispositivos de red perimetral de múltiples proveedores. Estos dispositivos son cruciales para la seguridad de las redes, ya que controlan la entrada y salida de datos, y son objetivos atractivos para el espionaje debido a su importancia estratégica. En el último tiempo se ha observado un aumento en los ataques a estos dispositivos, especialmente en sectores críticos como telecomunicaciones y energía. 

Comunicado de Cisco

Cisco, como proveedor líder de infraestructura de red, identificó esta amenaza después de que un cliente alertara a su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT). A través de una investigación conjunta entre PSIRT y el equipo de inteligencia Talos, se descubrió a un nuevo actor, conocido como UAT4356 por Talos y STORM-1849 por Microsoft. Este actor demostró un alto nivel de sofisticación y habilidades avanzadas, utilizando herramientas personalizadas para el espionaje y el conocimiento profundo de los dispositivos atacados. Dos puertas traseras, "Line Runner" y "Line Dancer", fueron implementadas para llevar a cabo actividades maliciosas, como la modificación de configuraciones, reconocimiento, exfiltración de tráfico de red y potencial movimiento lateral

Vulnerabilidades explotadas

Cisco identificó dos vulnerabilidades asociadas a estos ataques, CVE-2024-20353 [CVSS: 8.6]  y CVE-2024-20359 [CVSS: 6.0] (ambas informadas tan solo ayer 25 de abril 2024). Aunque el vector de ataque inicial no ha sido determinado, estas vulnerabilidades representan riesgos significativos para la seguridad de la red, para más detalle sobre estas vulnerabilidades visita el aviso de seguridad en nuestro Portal CCI.

Acceso inicial

Los investigadores aún se encuentran trabajando en encontrar el vector de acceso inicial para esta campaña, y no hay evidencia de explotación antes de la autenticación. La investigación sigue en curso, con actualizaciones previstas en futuros avisos de seguridad o publicaciones en el blog de Cisco.

El malware "Line Dancer" es un implante en memoria utilizado en la campaña. Actúa como un intérprete de shellcode, permitiendo a los atacantes cargar y ejecutar código arbitrario en dispositivos ASA comprometidos. Los atacantes envían comandos shellcode a través del campo host-scan-reply, el cual es procesado por el implante "Line Dancer". Este campo suele utilizarse en etapas posteriores del proceso de establecimiento de sesión SSL VPN, pero también es procesado por dispositivos ASA configurados para SSL VPN, IPsec IKEv2 VPN con "servicios de cliente" o acceso de administración HTTPS.

Persistencia

"Line Runner" es el mecanismo de persistencia utilizado por actores de amenazas para mantener una puerta trasera en dispositivos ASA comprometidos. Se basa en una funcionalidad heredada que permite la precarga de clientes VPN y complementos en el dispositivo. En dispositivos ASA, durante el arranque, busca archivos en el disco 0: que coincidan con la siguiente expresión regular de Lua: 

 Si el archivo existe, se descomprime y ejecuta el script csco_config[.]lua antes de eliminar el archivo ZIP. Esta vulnerabilidad fue asignada como CVE-2024-20359.

Además, los actores de amenazas pudieron aprovecharse de otra vulnerabilidad, bajo el CVE-2024-20353, para forzar el reinicio de dispositivos Cisco ASA. Este reinicio permitió descomprimir e instalar el segundo componente del implante de malware, "Line Runner", facilitando la persistencia. 

Archivo ZIP malicioso

Los scripts insertos en el archivo zip permiten al actor de amenazas mantener una puerta trasera Lua persistente basada en HTTP para dispositivos Cisco ASA vulnerables, que persiste a través de reinicios y actualizaciones. Se observó que UAT4356 utilizaba Line Runner para recuperar información que se organizó mediante el uso de Line Dancer.  

Ilustración 1: Archivos cargados en ZIP malicioso
Fuente: Blog Talos Intelligence

Capacidades de los ciberactores

• UAT4356, el actor de amenazas detrás de esta campaña, aplicó varias técnicas anti forenses y anti análisis para ocultar sus acciones y dificultar el proceso de investigación. Estas medidas reflejan un profundo entendimiento tanto de los dispositivos Cisco ASA como de las técnicas forenses utilizadas por Cisco para validar la integridad de la red. Aquí están las capacidades antiforenses destacadas:
• UAT4356 modificó la función AAA (Autenticación, Autorización y Contabilidad) para eludir las operaciones normales, permitiendo al actor de amenazas acceder al sistema y realizar acciones sin ser detectado por los mecanismos habituales de seguridad.
• En algunos casos, el actor desactivó el registro para ocultar sus operaciones desde el dispositivo Cisco ASA. Esto significaba que las acciones maliciosas no quedaban registradas (borrado de huellas), dificultando el seguimiento forense.
• El malware "Line Dancer" fue insertado intencionalmente en una región de memoria difícil de acceder. Esto complica la detección por parte de las herramientas forenses tradicionales.
• La función de volcado de núcleo, usada para recopilar información forense y de depuración, fue alterada para saltar directamente a un reinicio. Esto significa que, al reiniciar el sistema, el malware "Line Dancer" desaparecería, evitando cualquier análisis forense de memoria o depuración, causando una pérdida completa de datos que podrían haber ayudado a los investigadores.

Dispositivos expuestos LATAM

Efectuando una búsqueda de dispositivos Cisco ASA SSL VPN expuestos en LATAM se pudieron identificar 1.276 de 62.050 que existen a nivel mundial, estos (1.276) representan tan solo un 2,05% del total, pero el impacto que puede provocar este tipo de amenazas para una organización, sus proveedores o clientes puede ser mucho mayor. A continuación se muestra una distribución con el TOP 10 de los dispositivos expuestos (No necesariamente vulnerables) en LATAM.

Ilustración 2: Mapa con dispositivos Cisco ASA SSL VPN en Latam
Fuente: Grupo CTI Entel Digital

Línea de tiempo

Cisco recibió la primera alerta sobre estas actividades sospechosas en un dispositivo Cisco ASA a principios de 2024. La investigación posterior reveló víctimas adicionales, todas ellas relacionadas con redes gubernamentales a nivel mundial. Durante esta investigación, se descubrió infraestructura controlada por actores maliciosos que data de principios de noviembre de 2023, y se determinó que la mayoría de la actividad maliciosa ocurrió entre diciembre de 2023 y principios de enero de 2024. Además, se encontró evidencia que sugiere que esta capacidad se estaba probando y desarrollando desde julio de 2023.

Ilustración 3: Línea de tiempo de eventos
Fuente: Blog Talos Intelligence

Apreciación

La campaña de ArcaneDoor representa una seria amenaza para las redes informáticas debido a su sofisticación y enfoque en dispositivos de red perimetral. La capacidad de los atacantes para mantener la persistencia, evadir la detección y explotar vulnerabilidades críticas les permite obtener acceso no autorizado, modificar configuraciones y capturar tráfico de red. Estas acciones pueden tener impactos significativos, como espionaje, robo de datos y alteraciones del tráfico de red, afectando tanto a organizaciones privadas como a entidades gubernamentales.

Basado en los antecedentes expuestos en este boletín y las fechas de detección detalladas en la línea de tiempo, sugieren que estas vulnerabilidades ya habían sido descubiertas y explotadas previamente por este grupo de actores como 0 Day, por lo que se destaca un alto nivel de sofisticacion, investigacion y desarrollo para poder identificar vulnerabilidades previo a que las identifique el Vendor, lo que indirectamente se traduce en apoyo financiero importante propio de los ciberactores de estado nación.

Dada la naturaleza estratégica de los dispositivos de red perimetral y la persistencia mostrada por los atacantes, las organizaciones deben tomar medidas proactivas para proteger sus redes. Esto incluye la implementación de parches, el monitoreo continuo, la colaboración con expertos en ciberseguridad y la formación de empleados en prácticas de seguridad para minimizar el riesgo y mitigar posibles impactos.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos