Hakeri se često fokusiraju na F5 balansere opterećenja iz nekoliko razloga, jer su to vitalni dijelovi mnogih poslovnih mreža koji balansiraju opterećenje i upravljaju prometom.
Ako su ovi balanseri opterećenja izloženi riziku, oni mogu otkriti povjerljive informacije, onemogućiti funkcije ili biti medij za dalje hakerske mreže.
Istraživači sajber sigurnosti u Sygniji nedavno su otkrili da su kineski hakeri aktivno hakovali F5 balansere opterećenja u posljednje dvije godine.
Grupa prijetnji Velvet Ant ušla je u sistem određene organizacije više od dvije godine, što je Sygnia otkrila krajem 2023.
Bili su tako pametni; čak su znali sve o složenoj strukturi.
Međutim, Sygnia je to pokušala ublažiti. Jedan haker se vraćao mnogo puta iskorištavajući latentne mehanizme postojanosti na zastarjelim serverima i nezakrpljenim mrežnim uređajima i upuštajući se u klasičnu igru mačke i miša.
U ovom trenutku, Velvet Ant je koristio metodologije otmice toka izvršavanja, kao što je otmica naloga pretraživanja DLL-a , kako bi povratio pristup.
Nakon prvobitne sanacije, napadači su skrenuli pažnju na stare Windows Server 2003 sisteme bez zaštite krajnjih tačaka i nastavili sa radom koristeći prethodno raspoređeni PlugX malver.
PlugX, modularni trojanac za daljinski pristup koji koriste kineske grupe, omogućava preuzimanje legitimnih procesa kroz DLL bočno učitavanje.
Sygnia je dobila memorijske deponije koje pokazuju prikupljene vjerodajnice i potajno izvršene komande na nenadziranim naslijeđenim serverima, otkrivajući neuhvatljive taktike trajnih protivnika nakon napora očvršćavanja.
U ovoj prijetnji, ciljanoj na novije Windows sisteme, napadač je ugrozio proizvod Endpoint Detection and Response (EDR) prije nego što je implementirao PlugX malver s vrlo visokim nivoom operativne sigurnosti.
Bočno pomicanje je izvršeno pomoću Imppacketa, dok je daljinsko izvršenje komande obavljeno preko WMI. Nakon inicijalne sanacije, PlugX se ponovo pojavio i rekonfigurisao da koristi interni server datoteka kao prikriveni kanal za komandu i kontrolu (C2).
Sygnia je ovo pratila do narušenog naslijeđenog F5 balansera opterećenja sa zastarjelim OS-om koji je tunelisao promet između C2 servera i PlugX-om zaraženog servera datoteka koji je za njega djelovao kao interni proxy.
Dobivši tako nejasno uporište, uporni hakeri su se vratili kroz njega kako bi izvršili izviđanje i potom proširili PlugX preko starijih mreža koristeći SMB i WMI.
Hakeri su postavili četiri binarne datoteke, a ovdje ispod smo ih spomenuli:-
- VELVETSTING
- VELVETTAP
- SAMRID
- ESRDE
Uprkos ponovljenim pokušajima uklanjanja, haker je ostao ukorijenjen u ugroženoj mreži oko tri godine, pokazujući zajedničke alate, infrastrukturu i resurse koje koriste kineski setovi za upad.
Međutim, ograničena vidljivost spriječila je konačnu atribuciju i isključila mogućnost operacije lažne zastavice od strane druge napredne grupe upornih prijetnji.
Odbrambene strategije
Ovdje ispod smo spomenuli sve odbrambene strategije koje obezbjeđuju sigurnosni analitičari:-
- Ograničite odlazni internet saobraćaj
- Ograničite bočno kretanje kroz mrežu
- Poboljšajte sigurnosnu zaštitu naslijeđenih servera
- Ublažite prikupljanje akreditiva
- Zaštitite javne uređaje
Izvor: CyberSecurityNews