Οι φορείς απειλών που χρηματοδοτούνται από το κράτος στοχεύουν ενεργά τις συσκευές Cisco Firepower δεσμεύοντας γνωστά τρωτά σημεία για να αναπτύξουν ένα εξαιρετικά προσαρμοσμένο backdoor.
Η Cisco Talos ανακάλυψε πρόσφατα ότι η ομάδα απειλών UAT-4356 που εστιάζει στην κατασκοπεία εκμεταλλεύεται δύο τρωτά σημεία n-day, τα οποία παρακολουθούνται ως CVE-2025-20333 και CVE-2025-20362, για να διεισδύσει σε περιβάλλοντα επεκτάσιμου λειτουργικού συστήματος Firepower (FXOS).
Το UAT-4356 ενορχήστρωσε προηγουμένως την εκστρατεία ArcaneDoor, η οποία στόχευε με επιτυχία συσκευές περιμέτρου δικτύου για τη διεξαγωγή εκτεταμένης κατασκοπείας.
Σε αυτήν την τελευταία καμπάνια, οι εισβολείς αξιοποιούν την αρχική τους πρόσβαση για να εγκαταστήσουν το “FIRESTARTER”, ένα προηγμένο εμφύτευμα που παρέχει μη εξουσιοδοτημένο απομακρυσμένο έλεγχο σε παραβιασμένα δίκτυα.
Η κερκόπορτα FIRESTARTER ενσωματώνεται βαθιά μέσα στα βασικά εξαρτήματα των συσκευών ASA και FTD της Cisco. Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα τη διαδικασία LINA, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετο κέλυφος απευθείας στη μνήμη της συσκευής.
Κακόβουλη εκτέλεση ωφέλιμου φορτίου
Για να δημιουργήσει μια βάση, το UAT-4356 χειρίζεται τη σειρά εκκίνησης της συσκευής αλλάζοντας τη λίστα προσάρτησης πλατφόρμας υπηρεσιών Cisco Service. Είναι ενδιαφέρον ότι αυτός ο μηχανισμός επιμονής παραμένει εντελώς παροδικός και ενεργοποιείται μόνο κατά τη διάρκεια μιας χαριτωμένης επανεκκίνησης.
Όταν η συσκευή επεξεργάζεται ένα τυπικό σήμα τερματισμού, το FIRESTARTER αντιγράφεται σε ένα εφεδρικό αρχείο καταγραφής. Ενημερώνει τη λίστα προσάρτησης για να εγγυηθεί την εκ νέου εκτέλεση.
Μόλις επανεκκινηθεί το κακόβουλο ωφέλιμο φορτίο, καθαρίζει τα ίχνη του επαναφέροντας την αρχική λίστα προσάρτησης και διαγράφοντας τα προσωρινά αρχεία.
Επειδή το κακόβουλο λογισμικό βασίζεται σε μεγάλο βαθμό σε καταστάσεις σε επίπεδο εκτέλεσης, οι διαχειριστές μπορούν να εξαλείψουν πλήρως το εμφύτευμα εκτελώντας μια σκληρή επανεκκίνηση, όπως η φυσική αποσύνδεση του υλικού από την πηγή τροφοδοσίας του.
Κατά τη φάση μόλυνσης, το FIRESTARTER σαρώνει σχολαστικά τη μνήμη της διαδικασίας LINA για συγκεκριμένους δείκτες byte και μια εκτελέσιμη περιοχή μνήμης που σχετίζεται με το πλαίσιο κοινής βιβλιοθήκης.
Αφού εντοπίσει το κατάλληλο περιβάλλον, το κακόβουλο λογισμικό αντιγράφει τον δευτερεύοντα κώδικα κελύφους του στη μνήμη και αντικαθιστά μια νόμιμη εσωτερική δομή δεδομένων.
Αυτή η διαδικασία αντικαθιστά με επιτυχία μια τυπική λειτουργία χειριστή WebVPN XML με την κακόβουλη ρουτίνα του εισβολέα. Στη συνέχεια, το FIRESTARTER παρεμποδίζει ενεργά τα εισερχόμενα αιτήματα WebVPN.
Εάν ένα εισερχόμενο αίτημα ταιριάζει με ένα συγκεκριμένο προσαρμοσμένο πρόθεμα, το κακόβουλο λογισμικό εκτελεί αμέσως τον συνημμένο κώδικα κελύφους. Εάν τα δεδομένα δεν διαθέτουν το απαιτούμενο πρόθεμα, το FIRESTARTER προωθεί αθόρυβα το αίτημα στον αρχικό χειριστή για να αποφύγει τις υποψίες.
Οι αναλυτές σημειώνουν ότι αυτός ο εξελιγμένος μηχανισμός φόρτωσης μοιράζεται ουσιαστική τεχνική επικάλυψη με τις τακτικές ανάπτυξης του RayInitiator.
Ανίχνευση και Μετριασμός
Οι ομάδες ασφαλείας θα πρέπει να κυνηγούν προληπτικά για μολύνσεις από το FIRESTARTER, καθώς Η Cisco Talos Intelligence συμβουλεύει έλεγχος για αρχεία τεχνουργημάτων και ασυνήθιστες διαδικασίες για την αποτροπή περαιτέρω κατασκοπευτικής δραστηριότητας.
Οι οργανισμοί θα πρέπει να λάβουν τα ακόλουθα βήματα για να εξασφαλίσουν την υποδομή τους:
- Αναζητήστε τη διαδικασία κακόβουλου παρασκηνίου ή το προσωρινό αρχείο καταγραφής πυρήνα που κρύβεται στο δίσκο.
- Δημιουργήστε ξανά εικόνα όλων των επηρεαζόμενων συσκευών για να καθαρίσετε οριστικά τη μόλυνση FIRESTARTER από την αρχιτεκτονική του συστήματος.
- Καταργήστε την παραβιασμένη διαδικασία και φορτώστε ξανά το σύστημα σε λογισμικό FTD που λειτουργεί εκτός λειτουργίας κλειδώματος.
- Εφαρμόστε κρίσιμες αναβαθμίσεις λογισμικού που προτείνονται στο Cisco’s Security Advisory και CISA Emergency Directive 25-03.
- Αναπτύξτε τους κανόνες Snort 65340 και 46897 για να ανιχνεύσετε την εκμετάλλευση ευπάθειας και τον κανόνα 62949 για να επισημάνετε τη δραστηριότητα backdoor.
VIA: cybersecuritynews.com
