ArcaneDoor Campaign IOCs

security IOC
Опубликовано

ArcaneDoor является примером того, как спонсируемые государством субъекты направляют свои атаки на сетевые устройства периметра от различных производителей. В последние годы наблюдается рост атак на такие устройства, которые представляют собой идеальную точку вторжения для шпионажных операций. Кампания была обнаружена командой Talos от Cisco, которая имеет множество данных о состоянии сетевой инфраструктуры.

Содержание

В начале 2024 года было обнаружено нарушение безопасности адаптивного устройства безопасности Cisco ASA. Было установлено, что атака была проведена неизвестным спонсируемым государством агентом, который использовал специальные инструменты и обладал глубоким знанием устройств, на которые они нацеливались. Уязвимости, обнаруженные в процессе расследования, были использованы для внедрения вредоносного ПО на некоторых клиентах.

Компания Cisco выявила две уязвимости, которые использовались в этой кампании. Рекомендуется обновить устройства и применить исправления, чтобы обезопасить себя от атак.

Необходимо отметить, что проблемы безопасности не ограничены только устройствами Cisco. Злоумышленник также может атаковать сетевые устройства других производителей, поэтому важно обратить внимание на безопасность их устройств и принять соответствующие меры для защиты.

Расследование показало, что кампания ArcaneDoor началась в ноябре 2023 года и продолжалась до начала 2024 года. Было обнаружено пользователям, что злоумышленники использовали сложные техники атаки, чтобы получить доступ к системам и выполнить различные команды.

Технические подробности атаки показывают, что вредоносный имплант использует интерпретатор шелл-кода, работающий в памяти, чтобы загружать и выполнять вредоносные полезные нагрузки. Кроме того, было выяснено, что поле host-scan-reply в устройствах Cisco ASA было использовано для отправки шелл-кода.

Indicators of Compromise

IPv4

  • 103.114.200.230
  • 103.119.3.230
  • 103.125.218.198
  • 103.20.222.218
  • 103.27.132.69
  • 103.51.140.101
  • 104.156.232.22
  • 107.148.19.88
  • 107.172.16.208
  • 107.173.140.111
  • 121.227.168.69
  • 121.37.174.139
  • 131.196.252.148
  • 139.162.135.12
  • 149.28.166.244
  • 152.70.83.47
  • 154.22.235.13
  • 154.22.235.17
  • 154.39.142.47
  • 172.105.90.154
  • 172.105.94.93
  • 172.233.245.241
  • 176.31.18.153
  • 185.123.101.250
  • 185.167.60.85
  • 185.227.111.17
  • 185.244.210.120
  • 185.244.210.65
  • 192.210.137.35
  • 192.36.57.181
  • 194.32.78.183
  • 194.4.49.6
  • 205.234.232.196
  • 207.148.74.250
  • 212.193.2.48
  • 213.156.138.68
  • 213.156.138.77
  • 213.156.138.78
  • 216.155.157.136
  • 216.238.66.251
  • 216.238.71.49
  • 216.238.72.201
  • 216.238.74.95
  • 216.238.75.155
  • 216.238.81.149
  • 216.238.85.220
  • 216.238.86.24
  • 45.128.134.189
  • 45.63.119.131
  • 45.76.118.87
  • 45.77.52.253
  • 45.77.54.14
  • 45.86.163.224
  • 45.86.163.244
  • 5.183.95.95
  • 51.15.145.37
  • 89.44.198.16
  • 89.44.198.189
  • 89.44.198.196
  • 96.44.159.46
Похожие записи:
  1. PREDATOR Spyware IOCs
  2. Horabot Botnet IOCs
  3. RedDriver Browser Hijacker IOCs
  4. GhostWriter APT IOCs - Part 4
  5. YoroTrooper APT IOCs - Part 2
ArcaneDoor Campaign Cisco Talos
Добавить комментарий