【即時行動】神秘國家級黑客 濫用Cisco裝置安全漏洞入侵政府機構

    科技巨頭 Cisco 發出安全警告,指一個國家級黑客組織 UAT4356,一直在利用公司旗下的 ASA 及 Firepower Threat Firewall 網上管理介面的兩個零日漏洞,以潛入其客戶如各國政府組織的內部,刺探軍情。現時 Cisco 已為兩個漏洞推出安全更新,企業 IT 管理員要即時行動。

    入侵活動早於去年七月展開

    UAT4356 黑客組織(微軟稱為 STORM-1849)在 2023 年 11 月以來,一直在進行被稱為 ArcaneDoor 的複雜網絡間諜活動,目標是滲透易受攻擊的邊緣設備。經調查後,雖然 Cisco 方面在今年一月才意識到他們的攻擊,但其實入侵活動最早在去年七月已展開。

    第一階段植入的惡意程式 Line Dancer ,會於記憶體中執行載入程序,用於協助傳遞和執行任意 shellcode 及有效負載,以停用安全日誌記錄、提供遠端存取並外洩資料。第二階段則會植入 Line Runner 木馬程式,它具有多種回避防禦工具的機制,可以減少被偵測的風險,並允許黑客在已入侵系統上執行以 Lua 程式碼編寫的惡意功能。

    Cisco 方面指受到攻擊的目標主要是全球各地的政府機構客戶,而英國國家網絡安全中心(NCSC)、加拿大網絡安全中心和澳洲網絡安全中心針對此事,特別發布聯合公告,指黑客會利用通過漏洞獲取的權限,執行以下工作:

    1. 產生裝置設定檔的文字版本,以便可以透過網絡下令外傳數據
    2. 控制設備系統日誌服務的啟用和停用,以混淆或隱藏執行的惡意行為及增加調查的難度
    3. 修改身分驗證、授權及會計設定,以允許特定帳戶或裝置可在受影響的環境內進行存取或調查

    Cisco 指屬國家級黑客

    Cisco 方面指出黑客這次採用了全新定制的工具,其特性是非常熟悉攻擊目標的設備及架構,並以長期潛伏及刺探機密資料為目標,看不出具有破壞系統或賺取勒索贖金的意圖,是國家級黑客的一貫特徵。Cisco 表示至今仍未掌握 UAT4356 的初始攻擊形式,但根據對方入侵時所攻擊的弱點,已證實是兩個從未被發現的零日漏洞,分別是可用於啟動阻斷服務的 CVE-2024-20353 及長效執行惡意編碼的 CVE-2024-20359,而現時已就漏洞推出安全更新檔案。

    Cisco 強烈建議客戶更新韌體,以阻止黑客利用漏洞入侵。另一方面,Cisco 又強烈建議管理員應立即檢查系統日誌,看看是否有計劃外的系統重啟、未經授權的設定變更或可疑憑證活動,以判斷已遭受入侵的可能性。

    資料來源:https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/
    #Cisco #CyberSecurity #國家級黑客 #網絡安全 #間諜活動

    相關文章