Détection d’Activité Velvet Ant : Un Groupe de Cyberespionnage Soutenu par la Chine Lance une Attaque Prolongée Utilisant des Programmes Malveillants Déployés sur les Dispositifs F5 BIG-IP
Table des matières :
Le groupe de cyber-espionnage Velvet Ant, lié à la Chine, infiltre les appareils F5 BIG-IP depuis environ trois ans, les utilisant comme serveurs C2 internes, déployant des logiciels malveillants et obtenant une persistance pour échapper intelligemment à la détection et voler des données sensibles.
Détecter les attaques de Velvet Ant
Au premier trimestre 2024, les groupes APT de diverses régions, dont la Chine, la Corée du Nord, l’Iran et la Russie, ont montré une augmentation significative de leurs capacités offensives dynamiques et innovantes, posant de nombreux défis au paysage mondial de la cybersécurité. Cette tendance s’intensifie, avec la campagne de cyber-espionnage récemment dévoilée par l’APT Velvet Ant lié à la Chine, représentant la dernière illustration de la vaste surface d’attaque à laquelle les organisations sont actuellement confrontées.
Pour garder une longueur d’avance sur les adversaires et repérer les activités malveillantes associées à la dernière campagne de Velvet Ant, les plateformes SOC Prime offrent un pack dédié de règles Sigma. Il suffit de cliquer sur le Explorer les détections bouton ci-dessous ou accéder directement à la pile de détection en utilisant le tag « Velvet Ant » dans le Marketplace de détection des menaces.
Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont mappées sur MITRE ATT&CK®. De plus, les détections sont enrichies de métadonnées extensives, de références CTI et de chronologies d’attaques pour faciliter l’investigation des menaces.
Analyse de l’activité Velvet Ant
Les chercheurs de Sygnia ont mené une analyse judiciaire de l’activité malveillante persistante liée à un groupe soutenu par l’État chinois, surnommé Velvet Ant. Les acteurs de la menace de cyber-espionnage chinois ont été observés derrière une attaque sophistiquée prolongée contre une organisation d’Asie de l’Est. Les attaquants ont armé des appareils hérités F5 BIG-IP comme système C2 interne pour la persistance et pour échapper à la détection, entraînant un vol furtif de données à partir des instances compromises. Notamment, Velvet Ant avait infiltré le réseau de l’organisation au moins deux ans avant l’enquête. Pendant ce temps, ils ont réussi à établir une forte emprise et à acquérir une connaissance détaillée du réseau.
La chaîne d’infection comprenait l’utilisation d’un cheval de Troie PlugX (alias Korplug), un RAT modulaire souvent utilisé par des acteurs de cyber-espionnage affiliés à la Chine comme Earth Preta APT. PlugX s’appuie fortement sur le chargement de côté de DLL pour compromettre les appareils cibles. Les adversaires ont également tenté de désactiver la solution EDR de l’organisation avant d’installer PlugX à l’aide d’outils open-source comme Impacket pour se déplacer latéralement dans le réseau.
Velvet Ant a reconfiguré PlugX pour servir de serveur C2 interne tout en canalisant le trafic par ce serveur. Cela a facilité la dissimulation, permettant au trafic C2 de se fondre avec le trafic réseau interne légitime.
Selon la recherche, l’organisation impactée possédait deux appareils F5 BIG-IP qui offraient des services tels que des pare-feux, WAF, équilibrage de charge et gestion de traffic local. Ils fonctionnaient tous deux sous un système d’exploitation obsolète, permettant aux adversaires de facilement exploiter une de ces failles de sécurité pour obtenir un accès à distance aux appareils.
Les adversaires ont déployé des logiciels malveillants supplémentaires sur les instances F5 compromises, y compris VELVETSTING, qui se connectait au serveur C2 de l’acteur de la menace toutes les heures pour vérifier les commandes à exécuter, et VELVETTAP, qui était utilisé pour capturer les paquets réseau. D’autres utilitaires de l’outil des adversaires incluent SAMRID, un proxy SOCKS open-source utilisé par divers groupes APT chinois, incluant Volt Typhoon, et ESRDE, qui possède des capacités similaires à celles de l’outil VELVETSTING.
La sophistication croissante de l’attaque la plus récente de Velvet Ant et la capacité des acteurs à échapper intelligemment à la détection souligne la nécessité de stratégies de défense robustes contre les attaques APT. En tant que mesures potentielles de mitigation des malwares F5 BIG-IP, les défenseurs recommandent de restreindre le trafic Internet sortant, de limiter le mouvement latéral au sein du réseau et d’améliorer le renforcement du système pour les appareils hérités et accessibles au public. En tirant parti de la solution SaaS Attack Detective de SOC Prime , les organisations peuvent bénéficier d’audits en temps réel des données et contenus pour une visibilité complète des menaces et une meilleure couverture de détection, explorer une pile de détection à haute fidélité pour l’alerte, et activer la recherche automatisée de menaces pour rapidement identifier et traiter les cybermenaces avant qu’elles n’escaladent.
