【即時行動】神秘國家級黑客　濫用Cisco裝置安全漏洞入侵政府機構

科技巨頭 Cisco 發出安全警告，指一個國家級黑客組織 UAT4356，一直在利用公司旗下的 ASA 及 Firepower Threat Firewall 網上管理介面的兩個零日漏洞，以潛入其客戶如各國政府組織的內部，刺探軍情。現時 Cisco 已為兩個漏洞推出安全更新，企業 IT 管理員要即時行動。

入侵活動早於去年七月展開

UAT4356 黑客組織（微軟稱為 STORM-1849）在 2023 年 11 月以來，一直在進行被稱為 ArcaneDoor 的複雜網絡間諜活動，目標是滲透易受攻擊的邊緣設備。經調查後，雖然 Cisco 方面在今年一月才意識到他們的攻擊，但其實入侵活動最早在去年七月已展開。

第一階段植入的惡意程式 Line Dancer ，會於記憶體中執行載入程序，用於協助傳遞和執行任意 shellcode 及有效負載，以停用安全日誌記錄、提供遠端存取並外洩資料。第二階段則會植入 Line Runner 木馬程式，它具有多種回避防禦工具的機制，可以減少被偵測的風險，並允許黑客在已入侵系統上執行以 Lua 程式碼編寫的惡意功能。

Cisco 方面指受到攻擊的目標主要是全球各地的政府機構客戶，而英國國家網絡安全中心（NCSC）、加拿大網絡安全中心和澳洲網絡安全中心針對此事，特別發布聯合公告，指黑客會利用通過漏洞獲取的權限，執行以下工作：

1. 產生裝置設定檔的文字版本，以便可以透過網絡下令外傳數據
2. 控制設備系統日誌服務的啟用和停用，以混淆或隱藏執行的惡意行為及增加調查的難度
3. 修改身分驗證、授權及會計設定，以允許特定帳戶或裝置可在受影響的環境內進行存取或調查

Cisco 指屬國家級黑客

Cisco 方面指出黑客這次採用了全新定制的工具，其特性是非常熟悉攻擊目標的設備及架構，並以長期潛伏及刺探機密資料為目標，看不出具有破壞系統或賺取勒索贖金的意圖，是國家級黑客的一貫特徵。Cisco 表示至今仍未掌握 UAT4356 的初始攻擊形式，但根據對方入侵時所攻擊的弱點，已證實是兩個從未被發現的零日漏洞，分別是可用於啟動阻斷服務的 CVE-2024-20353 及長效執行惡意編碼的 CVE-2024-20359，而現時已就漏洞推出安全更新檔案。

Cisco 強烈建議客戶更新韌體，以阻止黑客利用漏洞入侵。另一方面，Cisco 又強烈建議管理員應立即檢查系統日誌，看看是否有計劃外的系統重啟、未經授權的設定變更或可疑憑證活動，以判斷已遭受入侵的可能性。

資料來源：https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/

網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/