Un grup de presupuși actori de ciberspionaj chinezi numiți ‘Velvet Ant’ folosesc malware personalizat pe aparatele F5 BIG-IP pentru a obține o conexiune persistentă la rețeaua internă și pentru a fura date.
Conform unui raport Sygnia care a descoperit intruziunea după ce au fost chemați să investigheze cibertacerea, Velvet Ant a stabilit mai multe puncte de sprijin folosind diverse puncte de intrare în rețea, inclusiv un aparat F5 BIG-IP mai vechi care a servit drept server intern de comandă și control (C2).
Folosind dispozitivele compromise F5 BIG-IP, actorii amenințării au putut fura în mod furtiv informații sensibile despre clienți și financiare de la companie timp de trei ani fără a fi detectați.
Atacul observat de Sygnia a început prin compromiterea a două aparate F5 BIG-IP învechite pe care organizația victimă le folosea pentru firewall, WAF, echilibrare a încărcăturii și managementul traficului local.
Ambele aparate erau expuse online și rulau versiuni de OS vulnerabile. Sygnia spune că ambele au fost compromise folosind erori cunoscute de execuție de cod la distanță pentru a instala malware personalizat pe dispozitivele de rețea.
În continuare, atacatorii au folosit acest acces pentru a obține acces la serverele de fișiere interne unde au implementat PlugX, un troian modular de acces la distanță (RAT), pe care diverși hackeri chinezi l-au folosit pentru colectarea și exfiltrarea de date de peste un deceniu acum.
Alte malware-uri implementate pe aparatul F5 BIG-IP includ:
Atacatorii au folosit aparatul F5 BIG-IP compromis pentru a menține persistența în rețea, permițându-le să obțină acces la rețeaua internă în timp ce amestecau traficul atacatorului cu traficul legitim al rețelei, făcând detectarea mai dificilă.
Acest mod de acțiune ocolește firewall-urile corporative și ridică restricțiile de trafic de ieșire, permițând atacatorilor să fure informații despre clienți și financiare fără a declanșa alarme timp de aproape trei ani.
Rapoartele Sygnia arată că, în ciuda eforturilor extinse de eradicare după descoperirea breach-ului, hackerii au reinstalat PlugX cu noi configurații pentru a evita detectarea, folosind dispozitive interne compromițite precum aparatele F5 pentru a menține accesul.
Contracararea grupurilor de amenințări sofisticate și persistente precum Velvet Ant necesită o abordare de securitate multistrat și holistică.
Sygnia recomandă următoarele măsuri pentru a detecta astfel de atacuri:
Deoarece dispozitivele de rețea de margine nu susțin în mod obișnuit soluțiile de securitate și sunt destinate să fie expuse la internet, ele au devenit ținte populare pentru actorii de amenințare pentru a obține accesul inițial la o rețea.
În 2023, hackerii legați de China au exploatat vulnerabilitățile zero-day ale Fortinet pentru a instala un implant personalizat pentru a fura date și a pivota către servere VMWare ESXi și vCenter.
Săptămâni mai târziu, o presupusă campanie de hacking chineză a vizat aparatele SonicWall Secure Mobile Access (SMA) neactualizate pentru a instala malware personalizat.
În aprilie 2023, SUA și Marea Britanie au avertizat că hackerii APT28 sprijiniți de statul rus au implementat un malware personalizat numit ‘Jaguar Tooth’ pe ruterele Cisco IOS.
În mai 2023, dispozitivele Barracuda ESG au fost exploatate timp de șapte luni pentru a implementa malware personalizat și a fura date. Compromiterea acestor dispozitive a fost atât de răspândită încât Barracuda a recomandat companiilor să înlocuiască dispozitivele compromise în loc să încerce să le restaureze.
Mai recent, grupurile de amenințări susținute de stat au exploatat o vulnerabilitate zero-day a Palo Alto Networks pentru a instala o ușă din spate personalizată pentru a sparge rețelele interne și a fura date și acreditări.
Grupurile de hacking chineze se aliază într-o campanie de ciberspionaj
Hackerii chinezi se ascund în rețelele militare și guvernamentale timp de 6 ani
Hackerii chinezi au spart 20.000 de sisteme FortiGate la nivel mondial
Hackerii Kimsuky implementează un nou backdoor Linux în atacurile asupra Coreei de Sud
Noile bug-uri ale Next Central Manager BIG-IP permit preluarea dispozitivului
Leave a Reply