Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Giu 18, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
Velvet Ant, un gruppo di attaccanti cinesi, ha sfruttato per anni F5 BIG-IP per ottenere persistenza nelle rete aziendali e sottrarre dati sensibili; a scoprirlo sono stati i ricercatori di Sygnia: a fine 2023 il team ha analizzato un grosso cyber attaccato ai danni di una grande organizzazioni e ha rivelato che il gruppo di black-hat hacker è rimasto nella rete aziendale per circa tre anni senza mai essere scoperto.
F5 BIG-IP è un’appliance che offre servizi avanzati di gestione del traffico e sicurezza come bilanciamento del carico, offload SSL/TLS, DNS e firewall per migliorare la disponibilità e le performance delle applicazioni.
Compromettendo questi dispositivi, il gruppo è riuscito a esercitare un controllo significativo sul traffico di rete senza mai destare sospetti. Poiché generalmente le aziende fanno più attenzione alla sicurezza applicativa, i log dei sistemi operativi vengono spesso ignorati; per questo i dispositivi F5 si sono rivelati il posto perfetto per posizionare la backdoor e permettere al gruppo di eludere i controlli di sicurezza.
“L’organizzazione compromessa disponeva di due appliance F5 BIG-IP che fornivano servizi quali firewall, WAF, bilanciamento del carico e gestione del traffico locale. Queste appliance erano direttamente esposte a Internet e sono state entrambe compromesse” affermano i ricercatori. Entrambi i dispositivi eseguivano versioni obsolete e vulnerabili del sistema operativo, e gli attaccanti hanno sfruttato una delle vulnerabilità per ottenere accesso remoto ai device.
Dopo aver ottenuto l’accesso ai file del dispositivo Velvet Ant ha eseguito PlugX, un trojan ad accesso remoto utilizzato da gruppi state-sponsored cinesi fin dal 2008. La versione base del trojan consente l’accesso remoto ai sistemi, ma grazie al suo sistema modulare può essere arricchito di ulteriori funzionalità.
Oltre a PlugX, utilizzando per la comunicazione col server C2, il gruppo ha diffuso altri quattro malware nella rete. Uno di questi è VELVETSTING, un tool che si connette al server C2 una volta ogni ora per ricevere eventuali comandi ed eseguirli.
Gli altri malware sono VELVETTAP, uno strumento in grado di ottenere i pacchetti di rete; SAMRID, conosciuto anche come EarthWorm, un tool open-source per il tunneling; infine ESRDE, uno strumento simile a VELVETSTING che utilizza bash invece di csh.
Nel corso degli anni il gruppo ha utilizzato diversi tool e tecniche per infiltrarsi nei sistemi critici e accedere a informazioni sensibili. I ricercatori di Sygnia spiegano che il gruppo è riuscito a familiarizzare con la complessa infrastruttura di rete dell’organizzazione e ottenere così persistenza in numerose aree della rete.
Il team di Sygnia è riuscito inizialmente a eliminare la presenza del gruppo dalla rete, ma dopo qualche giorno Velvet Ant è tornato alla carica infettando nuovi host.
Per proteggersi da questo tipo di attacchi, i ricercatori di Sygnia consigliano di limitare le connessioni in uscita verso il web e analizzare attentamente il traffico interno per ridurre il rischio di movimento laterale. È fondamentale inoltre mantenere aggiornati i sistemi e dismettere il prima possibile i server legacy; infine, occorre implementare soluzioni EDR per intercettare eventuali azioni malevoli e mitigare la raccolta di credenziali.
Nov 13, 2024 0
Nov 12, 2024 0
Ott 16, 2024 0
Ott 07, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...