Hackers ligados à China se infiltram em empresa do Leste Asiático por 3 anos usando dispositivos F5
Um suspeito de espionagem cibernética no nexo da China foi atribuído como responsável por um ataque prolongado contra uma organização não identificada localizada no Leste Asiático por um período de cerca de três anos, com o adversário estabelecendo persistência usando dispositivos F5 BIG-IP herdados e usando-o como um dispositivo interno comando e controle (C&C) para fins de evasão de defesa.
A empresa de segurança cibernética Sygnia, que respondeu à intrusão no closing de 2023, está rastreando a atividade sob o nome Formiga de veludocaracterizando-o como possuindo capacidades robustas para dinamizar e adaptar rapidamente as suas táticas aos esforços de contra-remediação.
“O Velvet Ant é um ator de ameaças sofisticado e inovador”, disse a empresa israelense em um relatório técnico compartilhado com o The Hacker Information. “Eles coletaram informações confidenciais durante um longo período de tempo, concentrando-se em informações financeiras e de clientes.”
As cadeias de ataque envolvem o uso de um backdoor conhecido chamado PlugX (também conhecido como Korplug), um trojan modular de acesso remoto (RAT) que tem sido amplamente utilizado por operadores de espionagem ligados a interesses chineses. Sabe-se que o PlugX depende fortemente de uma técnica chamada carregamento lateral de DLL para se infiltrar em dispositivos.
Sygnia disse que também identificou tentativas por parte do agente da ameaça de desabilitar o software program de segurança de endpoint antes de instalar o PlugX, com ferramentas de código aberto como o Impacket usadas para movimentação lateral.
Também identificada como parte dos esforços de resposta e remediação de incidentes foi uma variante reformulada do PlugX que usava um servidor de arquivos interno para C&C, permitindo assim que o tráfego malicioso se misturasse à atividade legítima da rede.
“Isso significa que o agente da ameaça implantou duas versões do PlugX na rede”, observou a empresa. “A primeira versão, configurada com servidor C&C externo, foi instalada em endpoints com acesso direto à Web, facilitando a exfiltração de informações confidenciais. A segunda versão não possuía configuração C&C e foi implantada exclusivamente em servidores legados.”
Em specific, descobriu-se que a segunda variante abusou de dispositivos F5 BIG-IP desatualizados como um canal secreto para se comunicar com o servidor C&C externo, emitindo comandos através de um túnel SSH reverso, mais uma vez destacando como dispositivos de borda comprometedores podem permitir os atores da ameaça ganhem persistência por longos períodos de tempo.
“Há apenas uma coisa necessária para que ocorra um incidente de exploração em massa: um serviço de ponta vulnerável, ou seja, um software program acessível pela Web”, disse WithSecure em uma análise recente.
“Dispositivos como estes são muitas vezes destinados a tornar uma rede mais segura, mas repetidamente vulnerabilidades têm sido descobertas em tais dispositivos e exploradas por invasores, proporcionando uma base perfeita em uma rede alvo”.
A análise forense subsequente dos dispositivos F5 hackeados também descobriu a presença de uma ferramenta chamada PMCD que pesquisa o servidor C&C do agente da ameaça a cada 60 minutos em busca de comandos para executar, bem como programas adicionais para capturar pacotes de rede e utilitário de tunelamento SOCKS denominado EarthWorm. que foi usado por atores como Gelsemium e Fortunate Mouse.
O vetor de acesso inicial exato – seja por spearphishing ou exploração de falhas de segurança conhecidas em sistemas expostos à Web – usado para violar o ambiente alvo não é conhecido atualmente.
O desenvolvimento segue o surgimento de novos clusters ligados à China, rastreados como Unfading Sea Haze, Operação Diplomatic Spectre e Operação Crimson Palace, que foram observados visando a Ásia com o objetivo de coletar informações confidenciais.
