关键词

网络攻击

国家支持的专业黑客团队利用思科 ASA 防火墙平台至少两个0day漏洞,植入恶意软件于电信和能源部门网络。思科周三发布警告。

据思科 Talos 报告显示,攻击者正在针对某些设备上运行的思科自适应安全设备(ASA)或思科 Firepower 威胁防御(FTD)产品中的软件缺陷进行攻击。他们利用这些漏洞植入恶意软件、执行命令,并有可能从受感染的设备中窃取数据。

虽然活动已被标记为ArcaneDoor,利用了思科产品中已记录的两个软件漏洞(CVE-2024-20353 和 CVE-2024-20359),但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。

打开网易新闻 查看更多图片

思科 Talos 表示:“我们尚未确定此次活动中使用的初始访问向量。迄今为止,我们尚未发现预身份验证利用的证据。”

思科解释说,ArcaneDoor是一个由国家级黑客组织发起的最新攻击示例,针对多个供应商的外围网络设备。针对这些攻击者而言,外围网络设备是进行间谍活动的理想入侵点。一旦在这些设备上获得立足点,攻击者可以直接进入组织、重新路由或修改流量,并监控网络通信。

在 2024 年初,一位未透露姓名的客户向思科的 PSIRT 团队报告了 ASA 防火墙产品的“安全问题”,引发了一项调查。在调查过程中,最终发现了黑客活动(由 Talos 追踪为 UAT4356,由微软威胁情报中心追踪为 STORM-1849)。

UAT4356基础设施

该公司指出:“攻击者采用了定制工具,表现出对间谍活动的明确关注,以及对其目标设备的深入了解。这种行为特征是成熟的国家资助攻击者的标志。”

思科指出,他们观察到黑客团队部署了两个后门,这些后门共同用于对目标进行恶意操作,包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。

该公司发出警告称:“思科已与受害者和情报合作伙伴合作,发现了一个复杂的攻击链,该攻击链用于植入定制恶意软件并在少数客户中执行命令。”

思科研究人员表示,通过网络遥测和情报合作伙伴提供的信息表明,黑客对刺探微软和其他供应商的网络设备感兴趣。

思科表示:“无论您的网络设备供应商是谁,现在都是确保设备已正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!