Detección de Actividad Velvet Ant: Grupo de Ciberespionaje Respaldado por China Lanza un Ataque Prolongado Usando Malware Desplegado en los Dispositivos F5 BIG-IP
Tabla de contenidos:
El grupo de ciberespionaje vinculado a China, Velvet Ant, ha estado infiltrándose en dispositivos F5 BIG-IP durante aproximadamente tres años, usándolos como servidores C2 internos, desplegando malware y obteniendo persistencia para evadir detección de manera inteligente y robar datos sensibles.
Detectar ataques de Velvet Ant
En el primer trimestre de 2024, grupos APT de varias regiones, incluyendo China, Corea del Norte, Irán y Rusia, demostraron un aumento significativo en capacidades ofensivas dinámicas e innovadoras, planteando desafíos sustanciales al panorama global de ciberseguridad. Esta tendencia está escalando, con la campaña de ciberespionaje recientemente revelada por el APT Velvet Ant, asociado a China, siendo la última marca del extenso superficie de ataque que las organizaciones están enfrentando actualmente.
Para mantenerse por delante de los adversarios y detectar actividad maliciosa asociada con la última campaña de Velvet Ant, las plataformas SOC Prime ofrecen un paquete dedicado de reglas Sigma. Solo presiona el Explorar Detecciones botón abajo o accede directamente al conjunto de detección usando la etiqueta «Velvet Ant» en el Mercado de Detección de Amenazas.
Todas las reglas son compatibles con más de 30 tecnologías SIEM, EDR, y Data Lake y están mapeadas a MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, referencias CTI, y cronologías de ataques para facilitar la investigación de amenazas.
Análisis de Actividad de Velvet Ant
Investigadores de Sygnia han realizado un análisis forense de la actividad maliciosa persistente vinculada a un grupo respaldado por una nación vinculada a China, apodado Velvet Ant. Se ha observado a actores de ciberespionaje chinos detrás de un ataque sofisticado y prolongado a una organización de Asia Oriental. Los atacantes utilizaron dispositivos F5 BIG-IP heredados como un sistema C2 interno para lograr persistencia y evasión de detección, lo que llevó a un robo encubierto de datos de las instancias comprometidas. Notablemente, Velvet Ant había infiltrado la red de la organización al menos dos años antes de la investigación. Durante este tiempo, lograron establecer una fuerte base y obtener un conocimiento detallado de la red.
La cadena de infección involucró el uso de un backdoor PlugX (también conocido como Korplug), un troyano de acceso remoto (RAT) modular frecuentemente usado por mantenedores de ciberespionaje afiliados a China como Earth Preta APT. PlugX depende en gran medida de la carga lateral de DLL para comprometer dispositivos objetivo. Los adversarios también intentaron deshabilitar la solución EDR de la organización antes de instalar PlugX con la ayuda de herramientas de código abierto como Impacket para moverse lateralmente a través de la red.
Velvet Ant reconfiguró PlugX para servir como un servidor C2 interno mientras canalizaba tráfico a través de este servidor. Esto facilitó la evasión de defensa, permitiendo que el tráfico C2 se mezclara con el tráfico legítimo de la red interna.
Según la investigación, la organización afectada tenía dos dispositivos F5 BIG-IP que proporcionaban servicios tales como cortafuegos, WAF, balanceo de carga y gestión de tráfico local. Ambos corrían un sistema operativo obsoleto, permitiendo a los adversarios aprovechar fácilmente una de estas vulnerabilidades de seguridad para obtener acceso remoto a los dispositivos.
Los adversarios desplegaron malware adicional en las instancias F5 comprometidas, incluyendo VELVETSTING, que se conectaba al C2 del actor de amenaza cada hora para verificar comandos a ejecutar, y VELVETTAP, que se usó para capturar paquetes de red. Otras utilidades del kit de herramientas del adversario incluyen SAMRID, un proxy SOCKS de código abierto empleado por varios grupos APT chinos, incluyendo Volt Typhoon, y ESRDE, que tiene capacidades similares a las de la herramienta VELVETSTING.
La creciente sofisticación del último ataque de Velvet Ant y la capacidad de los actores de evadir detección de manera inteligente subraya la necesidad de estrategias robustas de defensa contra ataques APT. Como medidas potenciales de mitigación de malware F5 BIG-IP, los defensores recomiendan restringir el tráfico saliente de internet, limitar el movimiento lateral dentro de la red y mejorar el endurecimiento del sistema tanto para dispositivos heredados como públicos. Al aprovechar la solución SaaS Attack Detective de SOC Prime , las organizaciones pueden beneficiarse de auditorías de datos y contenido en tiempo real para una visibilidad integral de amenazas y mejor cobertura de detección, explorar un conjunto de detección de alta fidelidad para alertas y habilitar la caza de amenazas automatizada para identificar rápidamente y abordar amenazas cibernéticas antes de que escalen.
