这些黑客被思科 Talos 称为 “UAT4356”，微软称为 “STORM-1849”，他们自2023年11月开始发动网络间谍活动 ArcaneDoor，渗透易受攻击的边缘设备。尽管思科尚未发现初始攻击向量，但发现并修复了攻击者利用的两个0day，即CVE-2024-20353（拒绝服务漏洞）和CVE-2024-20359（可持久的本地代码执行漏洞）。思科在2024年1月发现了 ArcaneDoor 活动并发现攻击者至少在2023年6月就已测试并开发了相关利用。

这两个漏洞可导致攻击者在受陷的ASA和FTD设备上部署此前未知的恶意软件并维护可持久性。

其中一个恶意软件植入是 Line Dancer，它是一款位于内存的 shellcode 加载器，有助于传播和执行任意 shellcode payload，以禁用记录、提供远程访问权限并提取被捕获的数据包。

第二款植入是一款可持久的后门 Line Runner，它配有多种防御躲避机制以避免被检测到，并可使攻击者在被黑系统上运行任意Lua代码。思科表示，“该行动者利用定制工具，展示了其对间谍的关注以及所针对设备的深厚知识，说明是复杂的国家黑客组织。UAT4356 部署了两款后门 Line Runner 和 Line Dancer，用于执行恶意行动，包括配置修改、侦查、网络流量捕获/渗透以及潜在的横向移动等。”

英国国家网络安全中心、加拿大网络安全中心以及澳大利亚网络安全中心发布联合公告提到，这些恶意人员通过访问权限实施如下目标：

本周三，思科发布安全更新修复了这两个0day漏洞，目前“强烈建议”所有客户升级设备修复软件，拦截任何攻击。

思科还“强烈鼓励”管理员监控系统日志中是否存在非计划的重启、越权配置更改或可疑的凭据活动。思科表示，“不管网络设备提供商是谁，现在必须确保设备得到正确修复，登录到中央、安全位置并配置了多因素认证机制。”思科还在该安全公告中提供了验证ASA或FTD设备完整性的指南。

本月早些时候，思科提醒注意针对全球思科、CheckPoint、Fortinet、SonicWall和 Ubiquiti 设备上VPN和SSH服务的大规模暴力破解攻击。今年3月份，思科还分享了针对思科Secure Firewall 设备上所配置的RAVPN服务的密码喷射攻击缓解指南。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~