24.08.2024 | 0day в Cisco раскрывает неожиданный масштаб китайских хакерских операций |
В начале 2024 года китайская группировка Velvet Ant воспользовалась недавно устранённой уязвимостью нулевого дня ( Zero-Day ) в коммутаторах Cisco для получения контроля над устройствами и обхода систем обнаружения угроз. Уязвимость CVE-2024-20399 (оценка CVSS 6.7) позволила злоумышленникам внедрить уникальное вредоносное ПО и получить обширный контроль над заражённой системой, что облегчило как кражу данных, так и сохранение доступа. По данным Sygnia, Velvet Ant использовала эксплойт для выполнения произвольных команд на Linux, работающей под оболочкой NX-OS. Для успешного проведения атаки киберпреступникам были необходимы действительные учетные данные администратора для доступа к консоли управления коммутатором. Специалисты Sygnia впервые обратили внимание на группу Velvet Ant в рамках многолетней кампании, направленной против некой организации в Восточной Азии. В ходе кампании Velvet Ant использовала устаревшие устройства F5 BIG-IP для создания устойчивого доступа к скомпрометированной среде. Обнаружение скрытой эксплуатации уязвимости CVE-2024-20399 произошло в начале июля, что побудило Cisco выпустить обновления безопасности для устранения данной проблемы. Группа Velvet Ant продемонстрировала высокий уровень технической подготовки и способность адаптировать свои методы, переходя от заражения новых систем Windows к устаревшим серверам и сетевым устройствам, что позволяет избегать обнаружения. По мнению специалистов Sygnia, переход к использованию внутренних сетевых устройств является новой тактикой обхода систем защиты. Последняя цепочка атак включала взлом коммутатора Cisco с использованием уязвимости CVE-2024-20399, проведение разведывательных операций и выполнение вредоносного скрипта, что в итоге привело к запуску бэкдора. Вредоносная программа, получившая название VELVETSHELL, представляет собой комбинацию двух инструментов с открытым исходным кодом: Unix-бэкдора Tiny SHell и прокси-утилиты 3proxy . Вредонос скрывается на уровне ОС и позволяет выполнять произвольные команды, загружать и выгружать файлы, а также устанавливать туннели для проксирования сетевого трафика. Действия «Velvet Ant» подчеркивают высокую степень риска, связанного с использованием стороннего оборудования и приложений в корпоративной сети. Зачастую такие устройства являются «чёрным ящиком», поскольку они в основном скрыты от пользователя, что делает их потенциальной мишенью для злоумышленников. |
Проверить безопасность сайта