Surgiram detalhes sobre a exploração, por um grupo de ameaças da China, de uma falha de segurança recentemente divulgada e agora corrigida em switches Cisco como um ataque de dia zero para assumir o controle dos dispositivos e evitar a detecção.
A atividade, atribuída ao Velvet Ant, foi observada no início deste ano e envolveu a transformação do CVE-2024-20399 (pontuação CVSS: 6,0) em arma para distribuir malware personalizado e obter amplo controle sobre o sistema comprometido, facilitando tanto a exfiltração de dados quanto o acesso persistente.
“O exploit de dia zero permite que um invasor com credenciais de administrador válidas no console de gerenciamento do Change escape da interface de linha de comando (CLI) do NX-OS e execute comandos arbitrários no sistema operacional Linux subjacente”, disse a empresa de segurança cibernética Sygnia em um relatório compartilhado com o The Hacker Information.
O Velvet Ant chamou a atenção dos pesquisadores da empresa israelense de segurança cibernética pela primeira vez em conexão com uma campanha de vários anos que teve como alvo uma organização não identificada localizada no Leste Asiático, aproveitando os dispositivos F5 BIG-IP legados como um ponto de vantagem para configurar a persistência no ambiente comprometido.
A exploração furtiva do CVE-2024-20399 pelo agente da ameaça veio à tona no início do mês passado, levando a Cisco a emitir atualizações de segurança para liberar a falha.
Entre os profissionais, destacam-se o nível de sofisticação e as táticas de mudança de forma adotadas pelo grupo, inicialmente se infiltrando em novos sistemas Home windows antes de migrar para servidores Home windows legados e dispositivos de rede, em uma tentativa de passar despercebido.
“A transição para operar a partir de dispositivos de rede interna marca mais uma escalada nas técnicas de evasão usadas para garantir a continuação da campanha de espionagem”, disse Sygnia.
A cadeia de ataque mais recente envolve invadir um dispositivo de swap da Cisco usando CVE-2024-20399 e conduzir atividades de reconhecimento, posteriormente migrando para mais dispositivos de rede e, por fim, executando um binário de backdoor por meio de um script malicioso.
O payload, chamado VELVETSHELL, é uma amálgama de duas ferramentas de código aberto, um backdoor Unix chamado Tiny SHell e um utilitário proxy chamado 3proxy. Ele também suporta capacidades para executar comandos arbitrários, baixar/carregar arquivos e estabelecer túneis para proxy de tráfego de rede.
“O modus operandi do 'Velvet Ant' destaca riscos e questões relacionadas a home equipment e aplicativos de terceiros que as organizações embarcam”, disse a empresa. “Devido à natureza de 'caixa preta' de muitos home equipment, cada pedaço de {hardware} ou software program tem o potencial de se transformar na superfície de ataque que um adversário é capaz de explorar.”