Устаревшие устройства F5 BIG-IP помогли кибервампирам скрытно высасывать корпоративные данные.
Кибератака, продолжавшаяся около трёх лет, была зафиксирована в сетях одной из организаций в Восточной Азии. Предположительно, за ней стоит китайская кибершпионская группа, которая использовала устаревшие устройства F5 BIG-IP для создания внутреннего C2-центра и обхода защитных механизмов.
В конце 2023 года компания Sygnia, специализирующаяся на кибербезопасности, выявила и расследовала данное вторжение, опубликовав результаты своей работы 17 июня. Деятельность группировки специалисты отслеживают под названием Velvet Ant, отмечая высокую способность хакеров быстро адаптировать свои тактики в ответ на меры противодействия.
«Velvet Ant — это сложная и инновационная киберугроза», — отметили в техническом отчёте эксперты Sygnia. «Хакеры на протяжении длительного времени собирали конфиденциальную информацию, сосредотачиваясь на данных клиентов и финансовой информации».
Атака включала использование известного троянца PlugX, также известного как Korplug, который активно применяется шпионскими группами с китайскими связями. PlugX использует технику подгрузки DLL для проникновения в устройства.
Sygnia также выявила попытки хакеров отключить программное обеспечение для защиты конечных точек перед установкой PlugX. Для перемещения по сети использовались открытые инструменты, такие как Impacket.
Во время инцидента была обнаружена модифицированная версия PlugX, которая использовала внутренний файловый сервер для C2-операций, что позволило маскировать вредоносный трафик под законную сетевую активность.
«Злоумышленники развернули две версии PlugX в сети», — заявили в компании. «Первая версия, настроенная с внешним C2-сервером, была установлена на конечных точках с прямым доступом к Интернету для передачи конфиденциальной информации. Вторая версия не имела C2-настройки и использовалась исключительно на устаревших серверах».
Для связи с внешним C2-сервером второй вариант PlugX использовал обратный SSH-туннель, что вновь подчёркивает важность уязвимых пограничных устройств для сохранения присутствия злоумышленников на длительный период.
«Для массовой эксплуатации достаточно лишь одного уязвимого пограничного сервиса», — отметили в недавнем анализе компании WithSecure. «Эти устройства часто предназначены для повышения безопасности сети, однако их уязвимости регулярно используются злоумышленниками именно для получения доступа».
Подробный анализ взломанных устройств F5 также выявил наличие инструмента PMCD, который каждые 60 минут отправляет определённые запросы на C2-сервер для выполнения команд, а также программы для захвата сетевых пакетов и утилиты для туннелирования SOCKS под названием EarthWorm, использовавшиеся группами Gelsemium и Lucky Mouse.
Начальный вектор рассмотренной выше атаки Velvet Ant пока не установлен. Неизвестно, использовалась ли хакерами фишинговые методы или уязвимости в системах, доступных из Интернета.
Инцидент с Velvet Ant является ярким примером упорства и изобретательности современных кибершпионских группировок. Несмотря на меры безопасности и защитные механизмы, злоумышленники сумели проникнуть в корпоративную сеть и сохранять присутствие на протяжении длительного периода времени.
Данный случай подчёркивает необходимость постоянного мониторинга сетевой активности, своевременного обновления программного обеспечения и оборудования, а также важность многоуровневой защиты информационных систем от всевозможных векторов атаки. Даже одна незначительная брешь может поставить под угрозу всю корпоративную инфраструктуру.
Наш канал — питательная среда для вашего интеллекта