Um suspeito de espionagem cibernética ligado à China foi responsabilizado por um ataque prolongado a uma organização não identificada no Leste Asiático, que durou cerca de três anos. Durante esse período, o invasor manteve persistência utilizando dispositivos F5 BIG-IP herdados como um ponto de comando e controle interno (C&C) para evitar detecção.
A empresa de segurança cibernética Sygnia, que respondeu à intrusão no final de 2023, está monitorando a atividade sob o nome Velvet Ant, descrevendo-a como altamente capaz de adaptar rapidamente suas táticas para enfrentar esforços repetidos de erradicação.
“O Velvet Ant é um ator de ameaças sofisticado e inovador”, afirmou a empresa israelense em um relatório técnico compartilhado com o The Hacker News. “Eles coletaram informações confidenciais durante um longo período, focando em dados financeiros e de clientes.”
As cadeias de ataque incluem o uso de um backdoor conhecido como PlugX (também chamado de Korplug), um trojan modular de acesso remoto (RAT) amplamente utilizado por operadores de espionagem ligados a interesses chineses. O PlugX se infiltra em dispositivos principalmente através de uma técnica chamada carregamento lateral de DLL.
A Sygnia relatou que o agente da ameaça tentou desabilitar o software de segurança de endpoint antes de instalar o PlugX, utilizando ferramentas de código aberto como o Impacket para movimentação lateral.
Durante os esforços de resposta e remediação de incidentes, também foi identificada uma variante modificada do PlugX que usava um servidor de arquivos interno para comando e controle (C&C), permitindo que o tráfego malicioso se misturasse à atividade legítima da rede.
“Isto significa que o agente da ameaça implantou duas versões do PlugX na rede”, observou a empresa. “A primeira versão, configurada com um servidor C&C externo, foi instalada em endpoints com acesso direto à Internet, facilitando a exfiltração de informações confidenciais. A segunda versão, sem configuração de C&C, foi implantada exclusivamente em servidores legados.”
Em particular, descobriu-se que a segunda variante abusou de dispositivos F5 BIG-IP desatualizados como um canal secreto para se comunicar com o servidor C&C externo, emitindo comandos através de um túnel SSH reverso. Isso ressalta como a exploração de dispositivos de borda vulneráveis pode permitir que atores de ameaça mantenham persistência por longos períodos.
“Para que ocorra um incidente de exploração em massa, basta um serviço de ponta vulnerável, ou seja, um software acessível pela Internet”, afirmou a WithSecure em uma análise recente.
“Dispositivos como esses são frequentemente projetados para tornar uma rede mais segura, mas vulnerabilidades repetidamente descobertas neles têm sido exploradas por invasores, proporcionando uma base perfeita em uma rede alvo”.
A análise forense subsequente dos dispositivos F5 hackeados também revelou a presença de uma ferramenta chamada PMCD, que pesquisa o servidor C&C do agente da ameaça a cada 60 minutos em busca de comandos a serem executados. Além disso, foram encontrados programas adicionais para capturar pacotes de rede e um utilitário de tunelamento SOCKS denominado EarthWorm, utilizado por atores de ameaça chineses como Gelsemium e Lucky Mouse.
A Sygnia informou ao The Hacker News que não tem visibilidade do vetor de acesso inicial exato usado para violar o ambiente de destino, pois a atividade correlacionada com o ator da ameaça foi observada pela primeira vez em 2021.
“O PlugX foi entregue através do C&C: o ator da ameaça conectou-se ao dispositivo F5 BIG-IP via túnel SSH reverso”, disse a empresa. “A partir daí, eles se conectaram a um servidor C&C interno e, usando a ferramenta de código aberto Impacket, executaram o PlugX em sistemas remotos que queriam comprometer.”
Este desenvolvimento segue o surgimento de novos grupos ligados à China, rastreados como Unfading Sea Haze, Operação Diplomatic Spectre e Operação Crimson Palace, que foram observados visando a Ásia com o objetivo de coletar informações confidenciais.
China – Suspeitos
Um suspeito de espionagem cibernética ligado à China foi responsabilizado por um ataque prolongado a uma organização não identificada no Leste Asiático, que durou cerca de três anos. Durante esse período, o invasor manteve persistência utilizando dispositivos F5 BIG-IP herdados como um ponto de comando e controle interno (C&C) para evitar detecção.
A empresa de segurança cibernética Sygnia, que respondeu à intrusão no final de 2023, está monitorando a atividade sob o nome Velvet Ant, descrevendo-a como altamente capaz de adaptar rapidamente suas táticas para enfrentar esforços repetidos de erradicação.
“O Velvet Ant é um ator de ameaças sofisticado e inovador”, afirmou a empresa israelense em um relatório técnico compartilhado com o The Hacker News. “Eles coletaram informações confidenciais durante um longo período, focando em dados financeiros e de clientes.”
As cadeias de ataque incluem o uso de um backdoor conhecido como PlugX (também chamado de Korplug), um trojan modular de acesso remoto (RAT) amplamente utilizado por operadores de espionagem ligados a interesses chineses. O PlugX se infiltra em dispositivos principalmente através de uma técnica chamada carregamento lateral de DLL.
A Sygnia relatou que o agente da ameaça tentou desabilitar o software de segurança de endpoint antes de instalar o PlugX, utilizando ferramentas de código aberto como o Impacket para movimentação lateral.
Durante os esforços de resposta e remediação de incidentes, também foi identificada uma variante modificada do PlugX que usava um servidor de arquivos interno para comando e controle (C&C), permitindo que o tráfego malicioso se misturasse à atividade legítima da rede.
“Isto significa que o agente da ameaça implantou duas versões do PlugX na rede”, observou a empresa. “A primeira versão, configurada com um servidor C&C externo, foi instalada em endpoints com acesso direto à Internet, facilitando a exfiltração de informações confidenciais. A segunda versão, sem configuração de C&C, foi implantada exclusivamente em servidores legados.”
Em particular, descobriu-se que a segunda variante abusou de dispositivos F5 BIG-IP desatualizados como um canal secreto para se comunicar com o servidor C&C externo, emitindo comandos através de um túnel SSH reverso. Isso ressalta como a exploração de dispositivos de borda vulneráveis pode permitir que atores de ameaça mantenham persistência por longos períodos.
“Para que ocorra um incidente de exploração em massa, basta um serviço de ponta vulnerável, ou seja, um software acessível pela Internet”, afirmou a WithSecure em uma análise recente.
“Dispositivos como esses são frequentemente projetados para tornar uma rede mais segura, mas vulnerabilidades repetidamente descobertas neles têm sido exploradas por invasores, proporcionando uma base perfeita em uma rede alvo”.
A análise forense subsequente dos dispositivos F5 hackeados também revelou a presença de uma ferramenta chamada PMCD, que pesquisa o servidor C&C do agente da ameaça a cada 60 minutos em busca de comandos a serem executados. Além disso, foram encontrados programas adicionais para capturar pacotes de rede e um utilitário de tunelamento SOCKS denominado EarthWorm, utilizado por atores de ameaça chineses como Gelsemium e Lucky Mouse.
A Sygnia informou ao The Hacker News que não tem visibilidade do vetor de acesso inicial exato usado para violar o ambiente de destino, pois a atividade correlacionada com o ator da ameaça foi observada pela primeira vez em 2021.
“O PlugX foi entregue através do C&C: o ator da ameaça conectou-se ao dispositivo F5 BIG-IP via túnel SSH reverso”, disse a empresa. “A partir daí, eles se conectaram a um servidor C&C interno e, usando a ferramenta de código aberto Impacket, executaram o PlugX em sistemas remotos que queriam comprometer.”
Este desenvolvimento segue o surgimento de novos grupos ligados à China, rastreados como Unfading Sea Haze, Operação Diplomatic Spectre e Operação Crimson Palace, que foram observados visando a Ásia com o objetivo de coletar informações confidenciais.
Fontes: The Hacker News
3 thoughts on “Hackers associados à China se infiltraram em uma empresa do Leste Asiático por três anos utilizando dispositivos F5”
Comments are closed.