ArcaneDoor: Spionagekampagne von Cisco entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

Angreifer zielen auf Perimeter-Netzwerkgeräte, wie Firewalls um in Unternehmen einzudringen. Cisco hat die Backdoors Line Runner und Line Dancer identifiziert. Das sind 0-Day-Schwachstellen die Admins dringend patchen sollten. Die Backdoors gehören zur identifizierten Kampagne ArcaneDoor.

Cisco hat zwei Schwachstellen identifiziert, die in der Kampagne ArcaneDoor ausgenutzt wurden (CVE-2024-20353 CVSS 8.6 und CVE-2024-20359 CVSS 6.0). Patches für diese Schwachstellen sind bereits in den veröffentlichten Cisco Security Advisories aufgeführt.

Anzeige

ArcaneDoor ist eine Kampagne, die das jüngste Beispiel dafür ist, wie staatlich geförderte Akteure Perimeter-Netzwerkgeräte verschiedener Anbieter ins Visier nehmen. Perimeter-Netzwerkgeräte sind bei diesen Akteuren begehrt und der perfekte Angriffspunkt für spionageorientierte Kampagnen. Wenn ein Akteur auf diesen Geräten Fuß fasst, kann er direkt in eine Organisation eindringen, den Datenverkehr umleiten oder ändern und die Netzwerkkommunikation überwachen.

Kampagne ArcaneDoor zielt auf einzelne Unternehmen

In den letzten zwei Jahren hat Cisco einen dramatischen und anhaltenden Anstieg der gezielten Angriffe auf diese Geräte in Bereichen wie Telekommunikationsanbietern und Organisationen des Energiesektors erlebt – kritische Infrastruktureinrichtungen, die wahrscheinlich strategische Ziele für viele ausländische Regierungen sind.

Anfang 2024 wandte sich ein aufmerksamer Kunde sowohl an Ciscos Product Security Incident Response Team (PSIRT) als auch an Cisco Talos, um Sicherheitsbedenken bezüglich ihrer Cisco Adaptive Security Appliances (ASA) zu besprechen. PSIRT und Talos schlossen sich zusammen, um eine Untersuchung einzuleiten, um den Kunden zu unterstützen. Während dieser Untersuchung, an der schließlich mehrere externe Geheimdienstpartner beteiligt waren und die sich über mehrere Monate erstreckte, wurde einen bisher unbekannten Akteur identifiziert, der von Talos als UAT4356 und vom Microsoft Threat Intelligence Center als STORM-1849 verfolgt wird. Dieser Akteur nutzte maßgeschneiderte Werkzeuge, die einen klaren Fokus auf Spionage und ein tiefgreifendes Wissen über die Geräte zeigten, auf die er abzielte – Kennzeichen eines hochentwickelten, staatlich geförderten Akteurs.

UAT4356 setzte als Komponenten dieser Kampagne zwei Backdoors ein: „Line Runner“ und „Line Dancer“, die gemeinsam für die Durchführung bösartiger Aktionen auf das Ziel eingesetzt wurden.

Kritische Fixes verfügbar

In Zusammenarbeit mit Opfern und Geheimdienstpartnern hat Cisco eine ausgeklügelte Angriffskette aufgedeckt, die dazu verwendet wurde, maßgeschneiderte Malware zu implantieren und Befehle bei einer kleinen Gruppe von Kunden auszuführen. Obwohl der ursprüngliche Angriffsvektor nicht identifiziert werden konnte, wurden die beiden Schwachstellen CVE-2024-20353 und CVE-2024-20359 identifiziert.

Cisco stellt in einem Blog-Artikel eine genaue Zeitleiste zur Verfügung. Sie zeigt wie ausgeklügelt die Angreifer bei der ArcaneDoor-Kampagne vorgegangen sind.

Mehr bei Cisco.com

 


Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.


 

Passende Artikel zum Thema

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Die zehn größten Datenpannen im Jahr 2024

Datenpannen sorgen nicht nur für häufige, aufmerksamkeitsstarke Schlagzeilen – sie sind eine deutliche Erinnerung an die Schwachstellen, die in vielen ➡ Weiterlesen