Актеры государственной сферы направлены на периметральные устройства Cisco, утверждает команда Talos
Команда исследователей безопасности Talos утверждает, что под атакой находятся две нулевые уязвимости в брандмауэрах Cisco в рамках кампании, длительной пять месяцев. Они добавляют, что атаки на Adaptive Security Appliances Cisco являются последними, направленными на устройства, которые должны обеспечить безопасность сети.
“Для этих актеров периметральные сетевые устройства являются идеальной точкой вторжения для кампаний, сосредоточенных на шпионаже,” – пишут исследователи. “Поскольку это критический маршрут для данных в и из сети, эти устройства должны регулярно и незамедлительно обновляться; использовать обновленные аппаратные и программные версии и настройки; а также близко мониториться с точки зрения безопасности.
“Получение плацдарма на этих устройствах позволяет актеру непосредственно проникнуть в организацию, перенаправить или изменить трафик и мониторить сетевые коммуникации. За последние два года мы наблюдали драматическое и устойчивое увеличение нападений на эти устройства в областях таких как телекоммуникационные провайдеры и организации в энергетическом секторе – критические объекты инфраструктуры, вероятно, являющиеся стратегическими целями многих иностранных правительств.”
Они говорят, что позиция Cisco в качестве ведущего глобального поставщика сетевой инфраструктуры дает ее команде Интеллекта и Захвата видимость в общем состоянии гигиены сети.
“Это также обеспечивает нам уникальные возможности расследования при нападениях такого рода,” – добавляют они. “В начале 2024 года бдительный клиент обратился как к Команде реагирования на инциденты безопасности продуктов Cisco, так и к Cisco Talos для обсуждения проблем безопасности с их Устройствами Адаптивной Безопасности Cisco.
“PSIRT и Talos объединились, чтобы запустить расследование для помощи клиенту. В ходе этого расследования, которое в конечном итоге включило несколько внешних разведывательных партнеров и затронуло несколько месяцев, мы обнаружили ранее неизвестного актера, сейчас отслеживаемого как UAT4356 Talos и STORM-1849 Центром угроз майкрософт.”
Но опасность не ограничивается устройствами Cisco. “Информация о сетевой телеметрии и информация от разведывательных партнеров указывают на то, что актер заинтересован – и, возможно, атакует – серверы Microsoft Exchange и сетевые устройства других поставщиков,” – пишет команда Talos.
“Без разницы, кто ваш поставщик сетевого оборудования, сейчас самое время убедиться, что устройства надлежащим образом обновлены, ведут журналирование в центральное, безопасное место и настроены на использование надежной, многофакторной аутентификации.”
Пост Talos подробно описывает атаки, предоставляя IOCs и добавляя, что угроза проявляет несколько техник рамочной MITRE ATT&CK.
В посте говорится, что Cisco сначала была оповещена о подозрительной активности на устройстве ASA в начале 2024 года. “Проведенное расследование выявило дополнительных жертв, все они включали правительственные сети по всему миру,” – добавили они.
“В ходе расследования мы обнаружили инфраструктуру, контролируемую актером, датирующуюся началом ноября 2023 года, с большинством деятельности, проходившей между декабрем 2023 и началом января 2024 года. Кроме того, мы выявили улики, указывающие на то, что эта способность начала тестироваться и разрабатываться уже в июле 2023 года.”
Они утверждают, что Cisco выявила две злоупотребляемые уязвимости в рамках этой кампании (CVE-2024-20353 и CVE-2024-20359), добавив, что патчи для этих уязвимостей были описаны в Советах Cisco по безопасности.
Команда Talos указывает, что до сих пор не установлен вектор начального доступа, использованный в рамках кампании.
“На сегодняшний день мы не выявили доказательств предварительной аутентификационной эксплуатации. Наши расследования продолжаются, и мы будем предоставлять обновления, при необходимости, в советах по безопасности или на этом блоге”, – добавили они.
Команда Talos выразила признательность за помощь Австралийскому директорату сигналов, Австралийскому центру кибербезопасности, Black Lotus Labs в Lumen Technologies, Канадскому центру кибербезопасности, входящему в Управление безопасности связи, Центру угроз майкрософт, Национальному центру кибербезопасности Великобритании и Управлению кибербезопасностью и инфраструктурой США.
Оригинальная новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/T75SUTUBFVK53FC2E4E3ILNQIY.jpg "Uber становится конкурентом для лондонских черных кэбов")
/cloudfront-us-east-2.images.arcpublishing.com/reuters/X6PV5BJFIZLTZKVDMHYBOMQ2BQ.jpg "Руководитель Alibaba успокаивает сотрудников после продажи акций Джека Ма")
