A kínai Velvet Ant az F5 BIG-IP készülékeket veszi célba

A “Velvet Ant” kínai kiberkémkedő csoport egyéni kártevőket telepít az F5 BIG-IP készülékekre, hogy tartós kapcsolatokat hozzon létre a belső hálózatokon belül és adatokat lopjon. A Sygnia jelentése szerint a Velvet Ant több belépési pontot használt ki, köztük egy belső parancsnoklási és vezérlési (C2) szerverként szolgáló, régebbi F5 BIG-IP alkalmazást, így három éven keresztül észrevétlenül tudtak érzékeny ügyfél- és pénzügyi információkat kiszivárogtatni.

A támadás két elavult F5 BIG-IP készülék kompromittálásával kezdődött, amelyek online voltak és sebezhető operációs rendszert futtattak. A Velvet Ant ismert távoli kódfuttatási hibákat kihasználva olyan egyedi kártevőket telepített ezekre az eszközökre, mint a PlugX, PMCD, MCDP, SAMRID és ESRDE. Ez lehetővé tette számukra, hogy fenntartsák a hálózati perzisztenciát, és összekeverjék a forgalmukat a legitim hálózati tevékenységgel, megkerülve a vállalati tűzfalakat és a kimenő forgalmi korlátozásokat. A felszámolási erőfeszítések ellenére a támadók a PlugX-et új konfigurációkkal újra telepítették a kompromittált eszközökkel. A Sygnia többrétegű biztonsági megközelítést javasol, beleértve a kimenő kapcsolatok korlátozását, a hálózati szegmentáció fokozását és a régi rendszerek cseréjének előtérbe helyezését az ilyen kifinomult fenyegetések elhárítása érdekében.

(forrás)