Cyberbezpieczeństwo
Chińczycy przez 3 lata infiltrowali wschodnioazjatycką firmę
Autor. Pxhere, CC0
Izraelska Sygnia wykryła, że cyberprzestępcy z Chin przez 3 lata infiltrowali wewnętrzną infrastrukturę wschodnioazjatyckiej firmy. Badacze wykryli, że członkowie grupy Velvet Ant mogli ukrywać się w sieci dzięki wykorzystywaniu nieaktualizowanych load balancerów od F5 jako serwerów Command & Control (C&C).
Chińscy cyberprzestępcy wykorzystali PlugX, który jest używany przez Chińczyków od 2008 roku. Jest to dobrze znany RAT (Remote Access Trojan). Warto wspomnieć, że atakujący skupiali się na m.in. Windows Server 2003, dzięki czemu ominięto np. EDR (Endpoint Detection and Respond). Sygnia stwierdziła, że atakujący wykorzystywali wyrafinowane i innowacyjne techniki.
Nazwa zaatakowanej firmy nie została wyszczególniona w raporcie.
Przebieg ataku
Sygnia stworzyła infografikę prezentującą przebieg ataku. Cyberprzestępcy wykorzystali serwery C&C i Load Balancery od F5.
Autor. https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
W ataku zostały wykorzystane trzy pliki: iviewers.exe, iviewers.dll iiviewers.dll.ui. Pierwszy z nich jest faktycznym plikiem Windows SDK, zaś pozostałe są złośliwym oprogramowaniem. Finalnie tworzone są procesy svchost.exe, które według badaczy służą do m.in. wykradania danych logowania.
Autor. https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
Autor. https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
Czytaj też
Obecność w sieci
PlugX modyfikowało lokalne reguły firewalla na skompromitowanych urządzeniach. Otwierane porty były spoza zakresu dobrze znanych portów.
Autor. https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
Rola urządzeń F5
Należy podkreślić, że urządzenia F5 korzystały z podatnych, przestarzałych wersji oprogramowania.
Cyberprzestępcy wykorzystali pliki binarne, których zadaniem było m.in. wysyłanie zakodowanych zapytań co 60 minut do serwera C&C (VELVETSTING) czy przechwytywanie pakietów sieciowych (VELVETTAP).
Czytaj też
Wnioski z ataku
Kampania chińskich cyberprzestępców pozwala na wyciągnięcie wniosków dotyczących bezpieczeństwa organizacji. Sygnia wspomina m.in. o restrykcyjnym podejściu do połączeń wychodzących w przypadku serwerów i stacji roboczych. Podkreślono również rolę nadzorowania ruchu sieciowego dla SMB, RPC, WinRM, RDP i SSH.
Warto również przypomnieć, że nieaktualne oprogramowanie jest bardzo dużym zagrożeniem w każdym środowisku. To samo dotyczy urządzeń, które pomimo wielu przeciwskazań są widoczne z poziomu Internetu. Opublikowano również IoC (Indicator of Compromise) w postaci hashy i adresów IP. Podano również techniki i taktyki z MITRE ATT&CK.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
