Rilevamento dell’Attività di Velvet Ant: Gruppo di Spionaggio Cibernetico Supportato dalla Cina Lancia un Attacco Prolungato Usando Malware Distribuito sui Dispositivi F5 BIG-IP
Indice:
Il gruppo di cyber-spionaggio collegato alla Cina, Velvet Ant, ha infiltrato i dispositivi F5 BIG-IP per circa tre anni, utilizzandoli come server C2 interni, distribuendo malware e ottenendo persistenza per eludere intelligentemente il rilevamento e rubare dati sensibili.
Rileva gli Attacchi Velvet Ant
Nel Q1 2024, i gruppi APT di varie regioni, tra cui Cina, Corea del Nord, Iran e Russia, hanno dimostrato un significativo aumento delle capacità offensive dinamiche e innovative, ponendo sfide sostanziali al panorama globale della sicurezza informatica. Questa tendenza è in aumento, con la recente campagna di cyber-spionaggio rivelata dal gruppo APT Velvet Ant legato alla Cina che rappresenta l’ultima prova dell’ampia superficie di attacco che le organizzazioni stanno attualmente affrontando.
Per stare al passo con gli avversari e individuare attività malevole associate all’ultima campagna Velvet Ant, SOC Prime Platforms offre un pacchetto dedicato di regole Sigma. Basta premere il Esplora Rilevamenti pulsante qui sotto o accedere direttamente allo stack di rilevamento usando il tag “Velvet Ant” nel Threat Detection Marketplace.
Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e sono mappate su MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con metadati estesi, riferimenti CTI e cronologie degli attacchi per facilitare le indagini sulle minacce.
Analisi dell’Attività Velvet Ant
I ricercatori di Sygnia hanno condotto un’analisi forense dell’attività malevola persistente collegata a un gruppo legato alla nazione cinese conosciuto come Velvet Ant. Gli attori di minacce cinesi di cyber-spionaggio sono stati osservati dietro un attacco sofisticato e prolungato su un’organizzazione dell’Asia orientale. Gli attaccanti hanno sfruttato i dispositivi legacy F5 BIG-IP come sistema C2 interno per persistenza e evasione del rilevamento, portando a furto di dati in modo furtivo dalle istanze compromesse. In particolare, Velvet Ant aveva infiltrato la rete dell’organizzazione almeno due anni prima dell’indagine. Durante questo periodo, sono riusciti a stabilire una forte posizione e ad acquisire una conoscenza dettagliata della rete.
La catena di infezione ha coinvolto l’uso di un nefando backdoor PlugX (alias Korplug), un RAT modulare frequentemente utilizzato dai mantenitori di cyber-spionaggio affiliati alla Cina come Earth Preta APT. PlugX si basa fortemente sul DLL side-loading per compromettere i dispositivi target. Gli avversari hanno anche tentato di disabilitare la soluzione EDR dell’organizzazione prima di installare PlugX con l’aiuto di strumenti open-source come Impacket per muoversi lateralmente attraverso la rete.
Velvet Ant ha riconfigurato PlugX per servire come server C2 interno mentre canalizzava il traffico attraverso questo server. Ciò ha facilitato l’evasione delle difese, consentendo al traffico C2 di confondersi con il traffico legittimo della rete interna.
Secondo la ricerca, l’organizzazione colpita disponeva di due dispositivi F5 BIG-IP che fornivano servizi come firewall, WAF, bilanciamento del carico e gestione del traffico locale. Entrambi eseguivano un sistema operativo obsoleto, permettendo agli avversari di sfruttare facilmente uno di questi difetti di sicurezza per ottenere accesso remoto ai dispositivi.
Gli avversari hanno distribuito malware aggiuntivo sulle istanze F5 compromesse, incluso VELVETSTING, che si connetteva ogni ora al C2 dell’attore di minaccia per verificare i comandi da eseguire, e VELVETTAP, utilizzato per catturare pacchetti di rete. Altri strumenti dal kit dell’avversario includono SAMRID, un proxy tunneler SOCKS open-source impiegato da vari gruppi APT cinesi tra cui Volt Typhoon, ed ESRDE, che ha capacità simili a quelle dello strumento VELVETSTING.
La crescente sofisticazione dell’ultimo attacco di Velvet Ant e la capacità degli attori di eludere intelligentemente il rilevamento sottolineano la necessità di strategie difensive robuste contro gli attacchi APT. Come potenziali misure di mitigazione del malware F5 BIG-IP, si raccomanda ai difensori di limitare il traffico internet in uscita, ridurre il movimento laterale all’interno della rete e migliorare il rafforzamento del sistema per dispositivi legacy e pubblicamente accessibili. Sfruttando la soluzione SaaS di SOC Prime’s Attack Detective , le organizzazioni possono beneficiare di audit di dati e contenuti in tempo reale per una visibilità completa delle minacce e una copertura migliorata del rilevamento, esplorare lo stack di rilevamento ad alta fedeltà per l’allerta e abilitare la caccia automatizzata alle minacce per identificare e affrontare rapidamente le minacce informatiche prima che si intensifichino.
