0day в Cisco раскрывает неожиданный масштаб китайских хакерских операций

В начале 2024 года китайская группировка Velvet Ant воспользовалась недавно устранённой Zero-Day уязвимостью в коммутаторах Cisco для получения контроля над устройствами и обхода систем обнаружения угроз.

Уязвимость CVE-2024-20399 (оценка CVSS 6.7) позволила злоумышленникам внедрить уникальное вредоносное ПО и получить обширный контроль над заражённой системой, что облегчило как кражу данных, так и сохранение доступа.

По даннымSygnia, Velvet Ant использовала эксплойт для выполнения произвольных команд на Linux, работающей под оболочкой NX-OS. Для успешного проведения атаки киберпреступникам были необходимы действительные учетные данные администратора для доступа к консоли управления коммутатором.

Специалисты Sygnia впервые обратили внимание на группу Velvet Ant в рамках многолетней кампании, направленной против некой организации в Восточной Азии. В ходе кампании Velvet Ant использовала устаревшие устройства F5 BIG-IP для создания устойчивого доступа к скомпрометированной среде.

Обнаружение скрытой эксплуатации уязвимости CVE-2024-20399 произошло в начале июля, что побудило Cisco выпустить обновления безопасности для устранения данной проблемы. Группа Velvet Ant продемонстрировала высокий уровень технической подготовки и способность адаптировать свои методы, переходя от заражения новых систем Windows к устаревшим серверам и сетевым устройствам, что позволяет избегать обнаружения.

По мнению специалистов Sygnia, переход к использованию внутренних сетевых устройств является новой тактикой обхода систем защиты. Последняя цепочка атак включала взлом коммутатора Cisco с использованием уязвимости CVE-2024-20399, проведение разведывательных операций и выполнение вредоносного скрипта, что в итоге привело к запуску бэкдора.

Вредоносная программа, получившая название VELVETSHELL, представляет собой комбинацию двух инструментов с открытым исходным кодом: Unix-бэкдора Tiny SHell и прокси-утилиты 3proxy . Вредонос скрывается на уровне ОС и позволяет выполнять произвольные команды, загружать и выгружать файлы, а также устанавливать туннели для проксирования сетевого трафика.

Действия “Velvet Ant” подчеркивают высокую степень риска, связанного с использованием стороннего оборудования и приложений в корпоративной сети. Зачастую такие устройства являются “чёрным ящиком”, поскольку они в основном скрыты от пользователя, что делает их потенциальной мишенью для злоумышленников.

Public Release.