Спонсируемая государством хакерская группа, известная как UAT4356 или Storm-1849, проводит кампанию под кодовым названием ArcaneDoor. Целью атаки являются правительственные учреждения, использующие межсетевые экраны Cisco Adaptive Security Appliance (ASA). Злоумышленники эксплуатируют уязвимости нулевого дня для развертывания ранее неизвестного вредоносного ПО RayInitiator и LINE VIPER, обеспечивая себе постоянный доступ к сетям, возможность кражи данных и уклонение от средств защиты.
Расследование атак, начатое компанией Cisco в мае 2025 года, показало, что текущая кампания является развитием более ранней активности ArcaneDoor, задокументированной в 2024 году. 25 сентября Национальный центр кибербезопасности Великобритании (NCSC) опубликовал подробности о новых семействах вредоносных программ, подчеркнув их возросшую сложность. Канадский центр кибербезопасности также выпустил предупреждение, призывая организации немедленно обновить затронутые продукты Cisco.
В ходе атак активно используются две уязвимости нулевого дня. Первая, CVE-2025-20362 с рейтингом CVSS 6.5, позволяет обходить аутентификацию на устройстве. Вторая, CVE-2025-20333 с критическим рейтингом CVSS 9.9, дает возможность выполнять произвольный вредоносный код на уязвимых устройствах.
Дополнительно была раскрыта еще одна критическая уязвимость, CVE-2025-20363, обнаруженная группой Cisco Advanced Security Initiatives Group (ASIG) в ходе обращения в центр технической поддержки Cisco TAC. Эта уязвимость с рейтингом CVSS от 8.5 до 9.0 может позволить удаленному злоумышленнику выполнять код с правами суперпользователя (root), что ведет к полной компрометации устройства. Она затрагивает программное обеспечение ASA, Secure Firewall Threat Defense (FTD), а также IOS, IOS XE и IOS XR. На данный момент нет доказательств ее эксплуатации в реальных атаках.
Атака проходит в два этапа. На первом этапе устанавливается RayInitiator — персистентный буткит на основе загрузчика GRUB. Он прошивается в устройство, что позволяет ему пережить перезагрузки и обновления прошивки. Его основная задача — загрузить в память основную вредоносную программу, LINE VIPER. Для этого он внедряет обработчик в легитимный бинарный файл Cisco ASA под названием "lina" (Linux-based Integrated Network Architecture), который является ядром операционной системы брандмауэра.
На втором этапе активируется LINE VIPER — загрузчик шелл-кода, работающий в пользовательском режиме. Специалисты описывают его как «более комплексный» инструмент и «значительную эволюцию» по сравнению с предыдущими имплантами, такими как Line Dancer. Он обладает широким спектром возможностей, включая выполнение команд интерфейса командной строки (CLI), перехват сетевых пакетов и обход механизмов аутентификации, авторизации и учета (AAA) для VPN-сессий.
Возможности LINE VIPER также позволяют собирать легитимные команды, вводимые администраторами в CLI, и подавлять сообщения системного журнала (syslog) для сокрытия своей активности. Кроме того, имплант может инициировать отложенную перезагрузку устройства. Для связи с командно-контрольными серверами (C2) вредоносное ПО использует два метода: сессии аутентификации клиента WebVPN через HTTPS и ICMP-запросы с ответами, отправляемыми по протоколу TCP без установления соединения.
Для обеспечения постоянного присутствия в системе злоумышленники модифицируют ROMMON (Read-Only Memory Monitor) — базовую прошивку устройства. Эта техника была замечена только на платформах Cisco ASA серии 5500-X, которые не имеют технологий Secure Boot и Trust Anchor, предотвращающих загрузку неподписанного кода.
Группа UAT4356 применяет продвинутые методы уклонения от обнаружения. Они отключают ведение журналов, чтобы стереть следы, перехватывают вводимые команды и модифицируют бинарный файл "lina", чтобы скрыть изменения в работе системных команд, таких как
Компрометации подвержены в первую очередь устройства Cisco ASA серии 5500-X, работающие под управлением программного обеспечения Cisco ASA версий 9.12 или 9.14. Обязательным условием для успешной атаки является активация на устройстве веб-сервисов VPN.
Все затронутые устройства либо уже достигли даты окончания поддержки (End-of-Support), либо приближаются к ней. Модели 5512-X и 5515-X перестали поддерживаться 31 августа 2022 года. Поддержка модели 5585-X завершилась 31 мая 2023 года. Для моделей 5525-X, 5545-X и 5555-X последним днем поддержки станет 30 сентября 2025 года.
Изображение носит иллюстративный характер
Расследование атак, начатое компанией Cisco в мае 2025 года, показало, что текущая кампания является развитием более ранней активности ArcaneDoor, задокументированной в 2024 году. 25 сентября Национальный центр кибербезопасности Великобритании (NCSC) опубликовал подробности о новых семействах вредоносных программ, подчеркнув их возросшую сложность. Канадский центр кибербезопасности также выпустил предупреждение, призывая организации немедленно обновить затронутые продукты Cisco.
В ходе атак активно используются две уязвимости нулевого дня. Первая, CVE-2025-20362 с рейтингом CVSS 6.5, позволяет обходить аутентификацию на устройстве. Вторая, CVE-2025-20333 с критическим рейтингом CVSS 9.9, дает возможность выполнять произвольный вредоносный код на уязвимых устройствах.
Дополнительно была раскрыта еще одна критическая уязвимость, CVE-2025-20363, обнаруженная группой Cisco Advanced Security Initiatives Group (ASIG) в ходе обращения в центр технической поддержки Cisco TAC. Эта уязвимость с рейтингом CVSS от 8.5 до 9.0 может позволить удаленному злоумышленнику выполнять код с правами суперпользователя (root), что ведет к полной компрометации устройства. Она затрагивает программное обеспечение ASA, Secure Firewall Threat Defense (FTD), а также IOS, IOS XE и IOS XR. На данный момент нет доказательств ее эксплуатации в реальных атаках.
Атака проходит в два этапа. На первом этапе устанавливается RayInitiator — персистентный буткит на основе загрузчика GRUB. Он прошивается в устройство, что позволяет ему пережить перезагрузки и обновления прошивки. Его основная задача — загрузить в память основную вредоносную программу, LINE VIPER. Для этого он внедряет обработчик в легитимный бинарный файл Cisco ASA под названием "lina" (Linux-based Integrated Network Architecture), который является ядром операционной системы брандмауэра.
На втором этапе активируется LINE VIPER — загрузчик шелл-кода, работающий в пользовательском режиме. Специалисты описывают его как «более комплексный» инструмент и «значительную эволюцию» по сравнению с предыдущими имплантами, такими как Line Dancer. Он обладает широким спектром возможностей, включая выполнение команд интерфейса командной строки (CLI), перехват сетевых пакетов и обход механизмов аутентификации, авторизации и учета (AAA) для VPN-сессий.
Возможности LINE VIPER также позволяют собирать легитимные команды, вводимые администраторами в CLI, и подавлять сообщения системного журнала (syslog) для сокрытия своей активности. Кроме того, имплант может инициировать отложенную перезагрузку устройства. Для связи с командно-контрольными серверами (C2) вредоносное ПО использует два метода: сессии аутентификации клиента WebVPN через HTTPS и ICMP-запросы с ответами, отправляемыми по протоколу TCP без установления соединения.
Для обеспечения постоянного присутствия в системе злоумышленники модифицируют ROMMON (Read-Only Memory Monitor) — базовую прошивку устройства. Эта техника была замечена только на платформах Cisco ASA серии 5500-X, которые не имеют технологий Secure Boot и Trust Anchor, предотвращающих загрузку неподписанного кода.
Группа UAT4356 применяет продвинутые методы уклонения от обнаружения. Они отключают ведение журналов, чтобы стереть следы, перехватывают вводимые команды и модифицируют бинарный файл "lina", чтобы скрыть изменения в работе системных команд, таких как
copy и verify. В некоторых случаях злоумышленники преднамеренно вызывали сбой устройства, чтобы помешать диагностическому анализу. Компрометации подвержены в первую очередь устройства Cisco ASA серии 5500-X, работающие под управлением программного обеспечения Cisco ASA версий 9.12 или 9.14. Обязательным условием для успешной атаки является активация на устройстве веб-сервисов VPN.
Все затронутые устройства либо уже достигли даты окончания поддержки (End-of-Support), либо приближаются к ней. Модели 5512-X и 5515-X перестали поддерживаться 31 августа 2022 года. Поддержка модели 5585-X завершилась 31 мая 2023 года. Для моделей 5525-X, 5545-X и 5555-X последним днем поддержки станет 30 сентября 2025 года.
