Подозреваемый в кибершпионаже China-nexus был приписан как организатор длительной атаки на неназванную организацию, расположенную в Восточной Азии в течение примерно трех лет, при этом злоумышленник установил постоянство, используя устаревшие устройства F5 BIG-IP и используя их в качестве внутреннего командования и контроля (C & C) в целях уклонения от обороны.
Компания по кибербезопасности Sygnia, которая отреагировала на вторжение в конце 2023 года, отслеживает активность под названием Velvet Ant, характеризуя ее как обладающую мощными возможностями для быстрой смены тактики и адаптации ее к усилиям по противодействию.
"Velvet Ant - сложный и инновационный исполнитель угроз", - говорится в техническом отчете израильской компании, опубликованном в Hacker News. "Они собирали конфиденциальную информацию в течение длительного периода времени, уделяя особое внимание информации о клиентах и финансовой информации".
Цепочки атак включают использование известного бэкдора под названием PlugX (он же Korplug), модульного трояна удаленного доступа (RAT), который широко используется операторами шпионажа, связанными с интересами Китая. Известно, что PlugX в значительной степени полагается на технику, называемую боковой загрузкой DLL, для проникновения на устройства.
Sygnia заявила, что также выявила попытки со стороны злоумышленника отключить программное обеспечение endpoint security перед установкой PlugX с использованием инструментов с открытым исходным кодом, таких как Impacket, используемых для бокового перемещения.
Также в рамках усилий по реагированию на инциденты и устранению неполадок был выявлен переработанный вариант PlugX, который использовал внутренний файловый сервер для C & C, тем самым позволяя вредоносному трафику смешиваться с законной сетевой активностью.
"Это означало, что субъект угрозы развернул две версии PlugX в сети", - отметили в компании. "Первая версия, настроенная с внешним C & C сервером, была установлена на конечных точках с прямым доступом в Интернет, что облегчало эксфильтрацию конфиденциальной информации. Вторая версия не имела конфигурации C & C и была развернута исключительно на устаревших серверах."
В частности, было обнаружено, что второй вариант использовал устаревшие устройства F5 BIG-IP в качестве скрытого канала связи с внешним C & C-сервером путем выдачи команд по обратному SSH-туннелю, что еще раз подчеркивает, как компрометирующие периферийные устройства могут позволить субъектам угрозы сохранять устойчивость в течение длительных периодов времени.
"Для возникновения инцидента с массовой эксплуатацией требуется только одна вещь, и это уязвимый пограничный сервис, то есть часть программного обеспечения, доступного из Интернета", - сказал WithSecure в недавнем анализе.
"Подобные устройства часто предназначены для повышения безопасности сети, однако в таких устройствах снова и снова обнаруживаются уязвимости, которыми пользуются злоумышленники, обеспечивая идеальную точку опоры в целевой сети".
Последующий судебно-медицинский анализ взломанных устройств F5 также выявил наличие инструмента под названием PMCD, который каждые 60 минут опрашивает сервер C & C субъекта угрозы в поисках команд для выполнения, а также дополнительных программ для захвата сетевых пакетов и утилиты туннелирования SOCKS под названием EarthWorm, которую использовали такие субъекты, как Gelsemium и Lucky Mouse.
Точный начальный вектор доступа – будь то шпионский фишинг или использование известных недостатков безопасности в системах, доступных в Интернете, - используемых для взлома целевой среды, в настоящее время неизвестен.
Развитие событий следует за появлением новых кластеров, связанных с Китаем, отслеживаемых как Unfading Sea Haze, Operation Diplomatic Spectre и Operation Crimson Palace, нацеленных на Азию с целью сбора конфиденциальной информации.
Компания по кибербезопасности Sygnia, которая отреагировала на вторжение в конце 2023 года, отслеживает активность под названием Velvet Ant, характеризуя ее как обладающую мощными возможностями для быстрой смены тактики и адаптации ее к усилиям по противодействию.
"Velvet Ant - сложный и инновационный исполнитель угроз", - говорится в техническом отчете израильской компании, опубликованном в Hacker News. "Они собирали конфиденциальную информацию в течение длительного периода времени, уделяя особое внимание информации о клиентах и финансовой информации".
Цепочки атак включают использование известного бэкдора под названием PlugX (он же Korplug), модульного трояна удаленного доступа (RAT), который широко используется операторами шпионажа, связанными с интересами Китая. Известно, что PlugX в значительной степени полагается на технику, называемую боковой загрузкой DLL, для проникновения на устройства.
Sygnia заявила, что также выявила попытки со стороны злоумышленника отключить программное обеспечение endpoint security перед установкой PlugX с использованием инструментов с открытым исходным кодом, таких как Impacket, используемых для бокового перемещения.
Также в рамках усилий по реагированию на инциденты и устранению неполадок был выявлен переработанный вариант PlugX, который использовал внутренний файловый сервер для C & C, тем самым позволяя вредоносному трафику смешиваться с законной сетевой активностью.
"Это означало, что субъект угрозы развернул две версии PlugX в сети", - отметили в компании. "Первая версия, настроенная с внешним C & C сервером, была установлена на конечных точках с прямым доступом в Интернет, что облегчало эксфильтрацию конфиденциальной информации. Вторая версия не имела конфигурации C & C и была развернута исключительно на устаревших серверах."
В частности, было обнаружено, что второй вариант использовал устаревшие устройства F5 BIG-IP в качестве скрытого канала связи с внешним C & C-сервером путем выдачи команд по обратному SSH-туннелю, что еще раз подчеркивает, как компрометирующие периферийные устройства могут позволить субъектам угрозы сохранять устойчивость в течение длительных периодов времени.
"Для возникновения инцидента с массовой эксплуатацией требуется только одна вещь, и это уязвимый пограничный сервис, то есть часть программного обеспечения, доступного из Интернета", - сказал WithSecure в недавнем анализе.
"Подобные устройства часто предназначены для повышения безопасности сети, однако в таких устройствах снова и снова обнаруживаются уязвимости, которыми пользуются злоумышленники, обеспечивая идеальную точку опоры в целевой сети".
Последующий судебно-медицинский анализ взломанных устройств F5 также выявил наличие инструмента под названием PMCD, который каждые 60 минут опрашивает сервер C & C субъекта угрозы в поисках команд для выполнения, а также дополнительных программ для захвата сетевых пакетов и утилиты туннелирования SOCKS под названием EarthWorm, которую использовали такие субъекты, как Gelsemium и Lucky Mouse.
Точный начальный вектор доступа – будь то шпионский фишинг или использование известных недостатков безопасности в системах, доступных в Интернете, - используемых для взлома целевой среды, в настоящее время неизвестен.
Развитие событий следует за появлением новых кластеров, связанных с Китаем, отслеживаемых как Unfading Sea Haze, Operation Diplomatic Spectre и Operation Crimson Palace, нацеленных на Азию с целью сбора конфиденциальной информации.
