Velvet-Ant-Aktivitätserkennung: Von China unterstützte Cyber-Spionage-Gruppe startet einen langanhaltenden Angriff mit auf F5 BIG-IP-Geräten eingesetzter Malware
Inhaltsverzeichnis:
Die mit China verbundene Cyber-Spionage-Gruppe Velvet Ant infiltriert seit etwa drei Jahren F5 BIG-IP-Geräte, nutzt sie als interne C2-Server, setzt Malware ein und erreicht Persistenz, um geschickt der Erkennung zu entgehen und sensible Daten zu stehlen.
Velvet Ant Angriffe erkennen
Im ersten Quartal 2024 zeigten APT-Gruppen aus verschiedenen Regionen, darunter China, Nordkorea, Iran und Russland, eine signifikante Steigerung ihrer dynamischen und innovativen offensiven Fähigkeiten, was erhebliche Herausforderungen für die globale Cybersicherheitslandschaft darstellt. Dieser Trend nimmt zu, wobei die kürzlich aufgedeckte Cyber-Spionage-Kampagne der China-nexus Velvet Ant APT das neueste Beispiel der umfangreichen Angriffsfläche ist, mit der Organisationen derzeit zu kämpfen haben.
Um den Gegnern einen Schritt voraus zu sein und bösartige Aktivitäten im Zusammenhang mit der neuesten Velvet Ant-Kampagne zu erkennen, bietet SOC Prime Platforms ein spezielles Paket von Sigma-Regeln an. Klicken Sie einfach auf den Erkunden Sie Erkennungen Button unten oder greifen Sie direkt über das „Velvet Ant„-Tag im Threat Detection Marketplace.
zu. Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und sind an MITRE ATT&CK®angelehnt. Zusätzlich werden die Erkennungen mit umfassenden Metadaten, CTI-Referenzen und Angriffsthemen angereichert, um die Bedrohungsermittlung zu erleichtern.
Velvet Ant Aktivitätsanalyse
Sygnia-Forscher haben eine forensische Analyse der anhaltenden bösartigen Aktivität durchgeführt, die mit einer von China unterstützten Gruppe mit dem Codenamen Velvet Ant verbunden ist. Chinesische Cyber-Spionage-Bedrohungsakteure wurden hinter einem langen, ausgeklügelten Angriff auf die ostasiatische Organisation beobachtet. Die Angreifer nutzten ältere F5 BIG-IP-Geräte als internes C2-System, um Persistenz und Erkennungsevasion zu erreichen, was zu einem unauffälligen Datendiebstahl aus den kompromittierten Instanzen führte. Bemerkenswert ist, dass Velvet Ant mindestens zwei Jahre vor der Untersuchung in das Netzwerk der Organisation eingedrungen war. Während dieser Zeit gelang es ihnen, einen starken Fußabdruck zu etablieren und detaillierte Kenntnisse über das Netzwerk zu gewinnen.
Die Infektionskette beinhaltete die Verwendung eines bösartigen PlugX-Backdoors (auch bekannt als Korplug), eines modularen RAT, das häufig von chinesisch verbundenen Cyber-Spionage-Bedrohungsakteuren wie Earth Preta APTeingesetzt wird. PlugX stützt sich stark auf DLL-Seiteneinschleusung, um Zielgeräte zu kompromittieren. Gegner versuchten auch, die EDR-Lösung der Organisation zu deaktivieren, bevor sie PlugX mithilfe von Open-Source-Tools wie Impacket installierten, um sich seitlich im Netzwerk zu bewegen.
Velvet Ant konfigurierte PlugX um, um als interner C2-Server zu dienen, während der gesamte Traffic über diesen Server kanalisiert wurde. Dies erleichterte die Erkennungsevasion, indem der C2-Traffic mit legitimen internen Netzwerk-Traffics vermischt werden konnte.
Laut der Studie hatte die betroffene Organisation zwei F5 BIG-IP-Geräte, die Dienste wie Firewalls, WAF, Lastverteilung und lokales Traffic-Management bereitstellten. Beide betrieben ein veraltetes Betriebssystem, das es den Angreifern leicht machte, eine dieser Sicherheitslücken auszunutzen, um Fernzugriff auf die Geräte zu erhalten.
Die Angreifer setzten zusätzliche Malware auf den kompromittierten F5-Instanzen ein, darunter VELVETSTING, das sich jede Stunde mit dem C2 des Bedrohungsakteurs verband, um nach auszuführenden Befehlen zu suchen, und VELVETTAP, das genutzt wurde, um Netzwerkkabeldaten aufzunehmen. Andere Werkzeuge aus dem Toolkit des Angreifers enthalten SAMRID, einen Open-Source-SOCKS-Proxy-Tunneler, der von verschiedenen chinesischen APT-Gruppen, darunter Volt Typhoon, eingesetzt wird, und ESRDE, das ähnliche Fähigkeiten wie das VELVETSTING-Tool bietet.
Die zunehmende Komplexität des neuesten Velvet Ant-Angriffs und die Fähigkeit der Akteure, geschickt der Erkennung zu entgehen, unterstreicht die Notwendigkeit robuster Verteidigungsstrategien gegen APT-Angriffe. Als potenzielle Malware-Minderungsmaßnahmen für F5 BIG-IP empfehlen Verteidiger, ausgehenden Internet-Traffic zu beschränken, seitliche Bewegungen im Netzwerk zu begrenzen und die Systemhärtung sowohl für veraltete als auch öffentlich zugängliche Geräte zu verbessern. Durch den Einsatz der SOC Prime’s Attack Detective SaaS-Lösung können Organisationen von Echtzeitdaten- und Inhaltsaudits profitieren, um umfassende Bedrohungs-Transparenz und verbesserte Erkennungsabdeckung zu erreichen, den Erkennungs-Stack mit hoher Präzision zu erkunden und automatisierte Bedrohungsjagden zu ermöglichen, um Cyber-Bedrohungen schnell zu identifizieren und zu bewältigen, bevor sie eskalieren.
