Rezumat
Un grup de spionaj cibernetic, despre care se bănuiește că ar avea legături cu China, a desfășurat un atac prelungit asupra unei organizații din Asia de Est timp de aproximativ trei ani. Grupul, numit Velvet Ant, a folosit dispozitive F5 BIG-IP vechi pentru persistență și comandă și control intern (C&C) pentru a eluda apărarea. Atacul a implicat backdoor-ul PlugX și diverse tehnici sofisticate pentru a colecta informații sensibile și a-și menține prezența.
TL;DR
Velvet Ant, un grup de spionaj cibernetic suspectat de a fi legat de China, a vizat o organizație din Asia de Est timp de trei ani, folosind aparate F5 BIG-IP tradiționale și backdoor-ul PlugX pentru persistență și exfiltrare de date. Grupul a dat dovadă de capacități avansate de adaptare și de eludare a apărărilor, compromițând dispozitivele edge și dezactivând securitatea endpoint-urilor pentru a colecta informații sensibile.
Raport detaliat
Atribuirea și persistența atacului
Un presupus actor de spionaj cibernetic legat de China, cunoscut sub numele de Velvet Ant, a fost legat de un atac prelungit împotriva unei organizații anonime din Asia de Est, pe o perioadă de trei ani. Adversarul și-a stabilit persistența folosind aparate F5 BIG-IP vechi, folosindu-le ca servere interne de comandă și control (C&C) pentru a se sustrage detectării.
Răspunsuri și analiză
Compania de securitate cibernetică Sygnia, care a răspuns la intruziune la sfârșitul anului 2023, urmărește Velvet Ant ca fiind un actor de amenințare sofisticat și inovator. Raportul Sygnia evidențiază capacitatea grupului de a-și adapta rapid tacticile pentru a contracara eforturile de remediere. Velvet Ant s-a concentrat pe colectarea de informații sensibile despre clienți și informații financiare pe o perioadă extinsă.
Tehnici și instrumente de atac
Utilizarea backdoor-ului PlugX
Lanțurile de atac au implicat un backdoor cunoscut numit PlugX (alias Korplug), un troian modular de acces de la distanță (RAT) utilizat în mod obișnuit de operatori de spionaj care au legături cu interese chinezești. PlugX se bazează în mare măsură pe încărcarea laterală a DLL pentru a se infiltra în dispozitive.
Dezactivarea securității punctelor finale
Sygnia a identificat încercări din partea Velvet Ant de a dezactiva software-ul de securitate a terminalelor înainte de a instala PlugX. Grupul a folosit instrumente open-source precum Impacket pentru mișcări laterale în cadrul rețelei.
Implementarea unei versiuni duble
Velvet Ant a implementat două versiuni ale PlugX în cadrul rețelei. Prima versiune, configurată cu un server C&C extern, a fost instalată pe terminale cu acces direct la internet pentru a facilita exfiltrarea de informații sensibile. A doua versiune nu avea o configurație C&C și a fost implementată exclusiv pe serverele tradiționale.
Exploatarea dispozitivelor vechi
Canale de comunicare ascunse
A doua variantă a PlugX a abuzat de dispozitive F5 BIG-IP neactualizate ca un canal ascuns pentru a comunica cu serverul C&C extern prin intermediul tunelurilor SSH inverse. Această tactică a subliniat riscurile asociate cu compromiterea dispozitivelor de margine, care pot oferi actorilor de amenințări o persistență pe termen lung.
Exploatarea vulnerabilității
“Există un singur lucru necesar pentru că un incident de exploatare în masă să aibă loc, și acesta este un serviciu edge vulnerabil”, a remarcat WithSecure într-o analiză recentă. Dispozitivele menite să îmbunătățească securitatea rețelei devin adesea puncte de intrare pentru atacatori din cauza vulnerabilităților descoperite.
Instrumente și tehnici suplimentare
Analiza criminalistică a dispozitivelor F5 compromise a descoperit prezența unui instrument numit PMCD, care interoghează serverul C&C al actorului de amenințare la fiecare 60 de minute pentru comenzi. Au fost identificate, de asemenea, programe suplimentare pentru capturarea pachetelor de rețea și un utilitar de tunelare SOCKS numit EarthWorm, utilizat de grupurile precum Gelsemium și Lucky Mouse.
Vector de acces inițial
Vectorul de acces inițial exact rămâne necunoscut, indiferent dacă a fost prin spear-phishing sau prin exploatarea unor defecte de securitate cunoscute în sistemele expuse la internet.
Context mai larg
Această evoluție se aliniază cu apariția unor noi grupuri legate de China, cum ar fi Unfading Sea Haze, Operațiunea Diplomatic Specter și Operațiunea Crimson Palace, care vizează Asia pentru colectarea de informații sensibile.
Sursa articolului:
https://thehackernews.com/2024/06/china-linked-hackers-infiltrate-east.html