Pojavili su se detalji o eksploataciji grupe za prijetnje Kine-nexus-a nedavno otkrivenog, sada zakrpljenog sigurnosnog propusta u Cisco prekidačima kao nulti dan za preuzimanje kontrole nad uređajima i izbjegavanje otkrivanja.
Aktivnost, pripisana Velvet Antu, primijećena je početkom ove godine i uključivala je naoružavanje CVE-2024-20399 (CVSS rezultat: 6,0) kako bi se isporučio zlonamjerni softver po mjeri i stekla opsežna kontrola nad narušenim sistemom, olakšavajući i eksfiltraciju podataka i trajni pristup.
“Zero-day exploit omogućava napadaču s važećim administratorskim akreditivima na konzoli za upravljanje Switch da pobjegne iz NX-OS sučelja komandne linije (CLI) i izvrši proizvoljne komande na operativnom sistemu koji je u osnovi Linux”, navodi se u izvještaju kompanije za kibernetičku sigurnost Sygnia . sa The Hacker News.
Velvet Ant je prvi put privukao pažnju istraživača u izraelskoj kompaniji za kibernetičku sigurnost u vezi sa višegodišnjom kampanjom koja je ciljala na neimenovanu organizaciju koja se nalazi u istočnoj Aziji koristeći naslijeđe F5 BIG-IP uređaje kao perspektivnu tačku za postavljanje upornosti u ugroženom okruženju .
Tajna eksploatacija CVE-2024-20399 od strane aktera pretnje izašla je na videlo početkom prošlog meseca, što je navelo Cisco da izda bezbednosne ispravke kako bi otklonio propust.
Značajni među zanatima su nivo sofisticiranosti i taktike promjene oblika koje je usvojila grupa, u početku se infiltrirajući u nove Windows sisteme prije prelaska na stare Windows servere i mrežne uređaje u pokušaju da prođu ispod radara.
“Prelazak na rad sa internih mrežnih uređaja označava još jednu eskalaciju u tehnikama izbjegavanja koje se koriste kako bi se osigurao nastavak špijunske kampanje”, rekao je Sygnia.
Najnoviji lanac napada podrazumijeva provalu u Cisco switch uređaj koristeći CVE-2024-20399 i provođenje izviđačkih aktivnosti, nakon čega se okreće na više mrežnih uređaja i na kraju izvršava backdoor binarnu datoteku pomoću zlonamjerne skripte.
Korisno opterećenje, nazvano VELVETSHELL, spoj je dva alata otvorenog koda, Unix backdoor-a pod nazivom Tiny Shell i proxy uslužnog programa zvanog 3proxy . Takođe podržava mogućnosti izvršavanja proizvoljnih naredbi, preuzimanja/učitavanja datoteka i uspostavljanja tunela za proxy mrežni promet.
“Modus-operandi ‘Velvet Ant’ naglašava rizike i pitanja u vezi s uređajima i aplikacijama trećih strana koje organizacije imaju”, kažu iz kompanije. “Zbog prirode ‘crne kutije’ mnogih uređaja, svaki komad hardvera ili softvera ima potencijal da se pretvori u površinu napada koju je protivnik u mogućnosti da iskoristi.”
Izvor: TheHackerNews
