Cisco cảnh báo, một nhóm hacker được nhà nước hậu thuẫn đã khai thác 2 lỗ hổng zero-day trên tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để xâm nhập các mạng của chính phủ trên toàn thế giới.
Nhóm hacker, được xác định là UAT4356 (hoặc STORM-1849), bắt đầu xâm nhập vào các thiết bị biên tồn tại lỗ hổng vào đầu tháng 11/2023 trong chiến dịch gián điệp mạng được theo dõi dưới tên ArcaneDoor.
Trong các cuộc tấn công, hacker sử dụng công cụ chuyên biệt, tập trung rõ ràng vào hoạt động gián điệp với kiến thức chuyên sâu về các thiết bị mục tiêu, Cisco cho biết.
“UAT4356 đã triển khai 2 backdoor trong chiến dịch là ‘Line Runner’ và ‘Line Dancer’ để thực hiện các hành động độc hại nhắm vào mục tiêu, bao gồm sửa đổi cấu hình, trinh sát, thu thập/lọc lưu lượng truy cập mạng và có khả năng di chuyển ngang”.
Cisco đã phát hành các bản cập nhật bảo mật vào 24/3 để khắc phục 2 lỗ hổng zero-day và khuyến cáo khách hàng nên nâng cấp thiết bị để ngăn chặn các cuộc tấn công.
Nguồn: Bleeping Computer