Detecção de Atividade Velvet Ant: Grupo de Ciberespionagem Apoiado pela China Lança um Ataque Prolongado Usando Malware Implantado em Dispositivos F5 BIG-IP
Índice:
O grupo de ciberespionagem Velvet Ant, vinculado à China, tem infiltrado dispositivos F5 BIG-IP há cerca de três anos, usando-os como servidores C2 internos, implantando malware e ganhando persistência para evitar detecção de forma inteligente e roubar dados sensíveis.
Detectar Ataques do Velvet Ant
No primeiro trimestre de 2024, grupos APT de várias regiões, incluindo China, Coreia do Norte, Irã e Rússia, demonstraram um aumento significativo em capacidades ofensivas dinâmicas e inovadoras, apresentando desafios substanciais para o cenário global de cibersegurança. Essa tendência está escalando, com a campanha de ciberespionagem recentemente revelada pelo APT Velvet Ant, vinculado à China, sendo a mais recente ampliação da vasta superfície de ataque que as organizações estão atualmente enfrentando.
Para ficar à frente dos adversários e detectar atividades maliciosas associadas à última campanha do Velvet Ant, as Plataformas da SOC Prime oferecem um pacote dedicado de regras Sigma. Basta pressionar o Explorar Detecções botão abaixo ou acessar diretamente o conjunto de detecção usando a tag “Velvet Ant” no Threat Detection Marketplace.
Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para MITRE ATT&CK®. Além disso, as detecções são enriquecidas com metadados extensivos, referências CTI e cronogramas de ataque para tornar a investigação de ameaças mais suave.
Análise da Atividade do Velvet Ant
Pesquisadores da Sygnia conduziram uma análise forense da atividade maliciosa persistente ligada a um grupo apoiado pela nação, com laços com a China, denominado Velvet Ant. Foram observados cibercriminosos de espionagem chineses por trás de um ataque sofisticado prolongado a uma organização do Leste Asiático. Os atacantes armaram dispositivos F5 BIG-IP legados como um sistema C2 interno para persistência e evasão de detecção, levando ao roubo furtivo de dados das instâncias comprometidas. Notavelmente, Velvet Ant havia infiltrado a rede da organização pelo menos dois anos antes da investigação. Durante esse tempo, conseguiram estabelecer uma forte base e obter conhecimento detalhado da rede.
A cadeia de infecção envolveu o uso de um nefasto backdoor PlugX (também conhecido como Korplug), um RAT modular frequentemente usado por mantenedores de ciberespionagem afiliados à China, como Earth Preta APT. O PlugX depende muito do DLL side-loading para comprometer dispositivos-alvo. Os adversários também tentaram desabilitar a solução EDR da organização antes de instalar o PlugX com a ajuda de ferramentas de código aberto como o Impacket para se mover lateralmente pela rede.
Velvet Ant reconfigurou o PlugX para servir como um servidor C2 interno enquanto canalizava o tráfego por meio deste servidor. Isso facilitou a evasão de defesa, permitindo que o tráfego C2 se misturasse com o tráfego legítimo da rede interna.
De acordo com a pesquisa, a organização impactada tinha dois dispositivos F5 BIG-IP que forneciam serviços como firewalls, WAF, balanceamento de carga e gerenciamento de tráfego local. Ambos executavam um sistema operacional desatualizado, permitindo que os adversários facilmente armassem uma dessas falhas de segurança para obter acesso remoto aos dispositivos.
Os adversários implantaram malware adicional nas instâncias F5 comprometidas, incluindo o VELVETSTING, que conectava ao C2 do ator da ameaça a cada hora para verificar comandos a serem executados, e o VELVETTAP, que era usado para capturar pacotes da rede. Outras utilidades do kit de ferramentas do adversário incluem SAMRID, um túnel proxy SOCKS open-source utilizado por vários grupos APT chineses, incluindo Volt Typhoon, e o ESRDE, que tem capacidades semelhantes às da ferramenta VELVETSTING.
A sofisticação crescente do mais recente ataque do Velvet Ant e a capacidade dos atores para evitar detecção de forma inteligente destacam a necessidade de estratégias de defesa robustas contra ataques APT. Como medidas potenciais de mitigação de malware F5 BIG-IP, os defensores recomendam restringir o tráfego de internet de saída, limitar o movimento lateral dentro da rede e melhorar o fortalecimento do sistema para dispositivos legados e voltados para o público. Ao aproveitar a solução SaaS Attack Detective da SOC Prime , as organizações podem se beneficiar de auditorias de dados em tempo real e conteúdo para uma visibilidade completa das ameaças e cobertura aprimorada de detecção, explorar um conjunto de detecção de alta fidelidade para alertas e habilitar caça a ameaças automatizadas para identificar e combater rapidamente ameaças cibernéticas antes que elas escalem.
