arcanedoor - RunkIntel

# ArcaneDoor > [!danger] Espionagem em Appliances de Rede - Estado-Nacao > **ArcaneDoor** e uma campanha de espionagem de estado-nacao que explorou dois zero-days em dispositivos Cisco ASA e FTD (CVE-2024-20353 e CVE-2024-20359), implantando backdoors que **sobrevivem a reinicializacoes e upgrades de firmware**. O ator UAT4356 / STORM-1849 demonstrou conhecimento profundo dos sistemas operacionais de appliances Cisco - capacidade raramente observada fora de grupos de elite patrocinados por estados. ## Visão Geral **ArcaneDoor** (MITRE C0046) foi uma campanha de espionagem cibernetica conduzida entre julho de 2023 e abril de 2024 pelo grupo **UAT4356** (rastreado como STORM-1849 pela Microsoft), avaliado com alta confiança como ator patrocinado por Estado. A campanha explorou vulnerabilidades zero-day em dispositivos [[_cisco|Cisco]] Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) - equipamentos de segurança de rede de alto valor amplamente implantados em ambientes governamentais e de infraestrutura critica mundial. O grupo implantou dois backdoors customizados nunca antes documentados: o [[s1186-line-dancer|Line Dancer]] (implante in-memory que executa payloads arbitrarios sem toque em disco) e o [[s1188-line-runner|Line Runner]] (backdoor persistente baseado em Lua que sobrevive a reinicializacoes e upgrades de firmware). A sofisticacao técnica do arsenal indica investimento substancial em reverse engineering do ASA OS - capacidade tipica de operadores de elite em nivel nacional. A [[cisco-talos|Cisco Talos]] detectou a campanha em abril de 2024 durante investigação de um cliente comprometido. O vetor de acesso inicial permaneceu desconhecido na epoca da divulgacao. Tres CVEs foram corrigidos: [[cve-2024-20353|CVE-2024-20353]] (CVSS 8.6), [[cve-2024-20359|CVE-2024-20359]] (CVSS 6.0) e CVE-2024-20358 (CVSS 6.0). Agencias de segurança do Canada, Australia e Reino Unido públicaram análises técnicas conjuntas dos malwares. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento Identificação de alvos ASA/FTD em infra gov e critica"] --> B["🚪 Acesso Inicial Zero-day desconhecido em dispositivos Cisco ASA"] B --> C["💉 Line Dancer Implant Hook em processHostScanReply executa shellcode via POST"] C --> D["🔐 Bypass AAA Hook na função de autenticação contorna controles de acesso"] D --> E["♻️ CVE-2024-20353 Forcado reboot do ASA instala Line Runner via ZIP"] E --> F["🐞 Line Runner Persistência Backdoor Lua sobrevive a reboots e upgrades"] F --> G["📡 Coleta e Exfiltração Packet capture + config dump via canal C2 HTTPS"] G --> H["🗑️ Anti-Forense Logs desabilitados core dump = reboot imediato"] ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2023-07 | Primeiras evidências de infraestrutura do ator UAT4356 identificadas retrospectivamente | | 2024-01 | Primeiras atividades contra dispositivos ASA de clientes confirmadas | | 2024-04 | Cisco Talos detecta a campanha durante investigação de cliente comprometido | | 2024-04-24 | Cisco pública advisory com tres CVEs e patches de emergência | | 2024-04-24 | Canada, Australia e NCSC-UK públicam análises técnicas de Line Dancer e Line Runner | | 2024-04-24 | CISA emite alerta instando aplicação imediata de patches em ASA/FTD | | 2024-04 | Ator identificado como UAT4356 (Cisco) / STORM-1849 (Microsoft) - estado-nacao | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Zero-day em SSL VPN / HTTPS management do ASA | | Execution | Process Injection | [[t1055-process-injection\|T1055]] | Line Dancer injeta shellcode na regiao de memoria do processo lina | | Persistence | Boot or Logon Initialization Scripts | [[t1037-boot-or-logon-initialization-scripts\|T1037]] | Scripts de boot maliciosos instalam Line Runner via ZIP no ASA | | Persistence | Rootkit | [[t1014-rootkit\|T1014]] | Hook em processHostScanReply() para interceptar comandos | | Persistence | Modify Authentication Process | [[t1556-modify-authentication-process\|T1556]] | Hook na função AAA para bypass de autenticação | | Defense Evasion | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativacao de logging e modificacao de função de core dump | | Defense Evasion | Impair Command History Logging | [[t1562-003-impair-command-history-logging\|T1562.003]] | Logging desabilitado durante operações criticas | | Collection | Automated Collection | [[t1119-automated-collection\|T1119]] | Coleta automatizada de configuração e packet captures | | Collection | Network Sniffing | [[t1040-network-sniffing\|T1040]] | Captura de trafego de rede nos dispositivos comprometidos | | Exfiltration | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 HTTP | | C2 | One-Way Commúnication | [[t1102-003-one-way-communication\|T1102.003]] | Comandos interceptados do trafego HTTP para o dispositivo | ## Malware e Ferramentas - [[s1186-line-dancer|Line Dancer]] - implante in-memory; hooks `processHostScanReply()` para executar shellcode arbitrario via POST sem autenticação; anti-forense: core dump triggerado redireciona para reboot - [[s1188-line-runner|Line Runner]] - backdoor Lua persistente; instalado via CVE-2024-20359 (ZIP descompactado no boot); sobrevive a reboots e upgrades de firmware; intercept de HTTP requests com token de 32 caracteres victim-specific ## Impacto | Metrica | Dado | |---------|------| | Período de comprometimento | Julho 2023 a Abril 2024 (9 meses) | | Zero-days explorados | CVE-2024-20353 (CVSS 8.6), CVE-2024-20359 (CVSS 6.0) | | Dispositivos afetados | Cisco ASA serie ASA55xx com firmware 9.12 e 9.14 | | Capacidade do Line Runner | Sobrevive a reinicializacoes e upgrades de firmware | | Dados coletados | Configuração de rede, packet captures, possívelmente credenciais | | Atribuicao | Estado-nacao (sem atribuicao pública a pais específico) | ## Relevância LATAM/Brasil - Dispositivos Cisco ASA e FTD sao amplamente utilizados em redes governamentais brasileiras, em orgaos federais, forcas armadas e empresas de infraestrutura critica - O Governo Federal brasileiro e concessionarias de infraestrutura critica (energia, agua, telecomúnicacoes) devem verificar urgentemente a aplicação dos patches para [[cve-2024-20353|CVE-2024-20353]] e [[cve-2024-20359|CVE-2024-20359]] - A capacidade do [[s1188-line-runner|Line Runner]] de sobreviver a upgrades de firmware e especialmente preocupante: organizacoes que simplesmente atualizaram o software do ASA sem verificar comprometimento podem ainda estar comprometidas - Indicadores de comprometimento públicados pela Cisco Talos devem ser verificados em todos os dispositivos ASA/FTD em uso ## Mitigação - Aplicar imediatamente patches Cisco ASA para versoes 9.16.4.57, 9.18.4.22 ou 9.20.2.10 - Verificar integridade dos dispositivos usando os comandos de detecção públicados pela Cisco Talos - Implementar assinaturas SNORT: CVE-2024-20353 (3:63139), Line Runner (3:62949), Line Dancer (3:45575) - Utilizar YARA rule do NCSC-UK para detectar Line Runner em discos dos appliances - Verificar número de regioes de memoria do processo lina (indicador de comprometimento por Line Dancer) - Desabilitar funcionalidades de SSL VPN se nao utilizadas para reduzir superficie de ataque ## Referências - [MITRE ATT&CK - C0046 ArcaneDoor](https://attack.mitre.org/campaigns/C0046/) - [Cisco Talos - ArcaneDoor: New Espionage-Focused Campaign](https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/) (2024-04-24) - [NCSC-UK - Line Dancer Malware Analysis](https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf) - [CISA - Alert ArcaneDoor CVE-2024-20359](https://www.cisa.gov/) (2024-04-24) - [mnemonic - Advisory ArcaneDoor](https://www.mnemonic.io/resources/blog/advisory-arcanedoor-campaign-targeting-cisco-asa-and-ftd-devices/)