Velvet Ant: китайские хакеры целых 3 года обитали в чужой сети

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Устаревшие устройства F5 BIG-IP помогли кибервампирам скрытно высасывать корпоративные данные.

Кибератака, продолжавшаяся около трёх лет, была зафиксирована в сетях одной из организаций в Восточной Азии. Предположительно, за ней стоит китайская кибершпионская группа, которая использовала устаревшие устройства F5 BIG-IP для создания внутреннего C2-центра и обхода защитных механизмов.

В конце 2023 года компания Sygnia, специализирующаяся на кибербезопасности, выявила и расследовала данное вторжение, опубликовав результаты своей работы 17 июня. Деятельность группировки специалисты отслеживают под названием Velvet Ant, отмечая высокую способность хакеров быстро адаптировать свои тактики в ответ на меры противодействия.

«Velvet Ant — это сложная и инновационная киберугроза», — отметили в техническом отчёте эксперты Sygnia. «Хакеры на протяжении длительного времени собирали конфиденциальную информацию, сосредотачиваясь на данных клиентов и финансовой информации».

Атака включала использование известного троянца PlugX, также известного как Korplug, который активно применяется шпионскими группами с китайскими связями. PlugX использует технику подгрузки DLL для проникновения в устройства.

Sygnia также выявила попытки хакеров отключить программное обеспечение для защиты конечных точек перед установкой PlugX. Для перемещения по сети использовались открытые инструменты, такие как Impacket.

Во время инцидента была обнаружена модифицированная версия PlugX, которая использовала внутренний файловый сервер для C2-операций, что позволило маскировать вредоносный трафик под законную сетевую активность.

В России и ищешь VPN? Покупай через Телеграмм-бот:

«Злоумышленники развернули две версии PlugX в сети», — заявили в компании. «Первая версия, настроенная с внешним C2-сервером, была установлена на конечных точках с прямым доступом к Интернету для передачи конфиденциальной информации. Вторая версия не имела C2-настройки и использовалась исключительно на устаревших серверах».

  Как индус обманул пользователей Coinbase на $37 миллионов

Для связи с внешним C2-сервером второй вариант PlugX использовал обратный SSH-туннель, что вновь подчёркивает важность уязвимых пограничных устройств для сохранения присутствия злоумышленников на длительный период.

«Для массовой эксплуатации достаточно лишь одного уязвимого пограничного сервиса», — отметили в недавнем анализе компании WithSecure. «Эти устройства часто предназначены для повышения безопасности сети, однако их уязвимости регулярно используются злоумышленниками именно для получения доступа».

Подробный анализ взломанных устройств F5 также выявил наличие инструмента PMCD, который каждые 60 минут отправляет определённые запросы на C2-сервер для выполнения команд, а также программы для захвата сетевых пакетов и утилиты для туннелирования SOCKS под названием EarthWorm, использовавшиеся группами Gelsemium и Lucky Mouse.

Начальный вектор рассмотренной выше атаки Velvet Ant пока не установлен. Неизвестно, использовалась ли хакерами фишинговые методы или уязвимости в системах, доступных из Интернета.

Инцидент с Velvet Ant является ярким примером упорства и изобретательности современных кибершпионских группировок. Несмотря на меры безопасности и защитные механизмы, злоумышленники сумели проникнуть в корпоративную сеть и сохранять присутствие на протяжении длительного периода времени.

Данный случай подчёркивает необходимость постоянного мониторинга сетевой активности, своевременного обновления программного обеспечения и оборудования, а также важность многоуровневой защиты информационных систем от всевозможных векторов атаки. Даже одна незначительная брешь может поставить под угрозу всю корпоративную инфраструктуру.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

  Cobalt Strike в манящей обёртке: вредоносные Excel-таблицы заполонили Украину

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий