Una entidad de seguridad cibernética, Sygnia, atribuyó un ataque prolongado de aproximadamente tres años a una organización no identificada en Asia Oriental a un presunto actor de espionaje cibernético con vínculos en China. El atacante utilizó equipos obsoletos F5 BIG-IP como un centro de mando y control interno (C&C) para establecer persistencia y evadir la defensa.
Sygnia está siguiendo la actividad bajo el nombre de Velvet Ant, caracterizándola como un actor de amenaza sofisticado e innovador con robustas capacidades para adaptar tácticas que contrarrestan los esfuerzos de remediación.
En un informe técnico compartido con este medio, la empresa israelí describió a Velvet Ant como un actor de amenaza sofisticado e innovador que recopiló información sensible durante un largo período de tiempo, centrándose en la información financiera y de los clientes.
Las cadenas de ataque involucran el uso de un backdoor conocido como PlugX (también conocido como Korplug), un troyano modular de acceso remoto (RAT) utilizado ampliamente por operadores de espionaje con vínculos a intereses chinos. PlugX se sabe que depende en gran medida de una técnica llamada carga lateral de DLL para infiltrar dispositivos.
Sygnia también identificó intentos por parte del actor de amenaza de deshabilitar el software de seguridad de los terminales antes de instalar PlugX, utilizando herramientas de código abierto como Impacket para el movimiento lateral.
Además, se identificó una variante reelaborada de PlugX que utilizaba un servidor de archivos interno para el C&C, lo que permitía que el tráfico malicioso se mezclara con la actividad de red legítima.
La segunda variante había abusado de los dispositivos F5 BIG-IP obsoletos como un canal encubierto para comunicarse con el servidor C&C externo emitiendo comandos a través de un túnel SSH inverso, resaltando cómo comprometer dispositivos perimetrales puede permitir que los actores de amenazas obtengan persistencia durante períodos prolongados.
Un análisis reciente destacó que dispositivos perimetrales vulnerables pueden proporcionar un punto de apoyo perfecto en una red objetivo, lo que facilita el acceso a los atacantes.
El análisis forense posterior de los dispositivos F5 hackeados también descubrió la presencia de una herramienta llamada PMCD que consulta el servidor C&C del actor de amenaza cada 60 minutos para buscar comandos a ejecutar, así como programas adicionales para capturar paquetes de red y una utilidad de túnel SOCKS llamada EarthWorm que ha sido utilizada por actores como Gelsemium y Lucky Mouse.
El vector exacto de acceso inicial, ya sea mediante spear-phishing o explotación de fallas de seguridad conocidas en sistemas expuestos a Internet, que se utilizó para violar el entorno objetivo, actualmente no se conoce.
Este desarrollo sigue a la aparición de nuevos grupos vinculados a China rastreados como Unfading Sea Haze, Operation Diplomatic Specter y Operation Crimson Palace que se han observado apuntando a Asia con el objetivo de recopilar información sensible.
Vía The Hacker News