F5 ifadesi eklemek için 6/18 tarihinde güncellenen gönderi
'Velvet Ant' adlı bir grup şüpheli Çinli siberlik aktörü, dahili ağa kalıcı bir bağlantı elde etmek ve verileri çalmak için F5 Big-IP cihazlarına özel kötü amaçlı yazılım kullanıyor.
Siber saldırıyı araştırmak için çağrıldıktan sonra izinsiz girişi keşfeden bir Sygnia raporuna göre, Velvet Ant, iç komut ve kontrol olarak hizmet eden bir Legacy F5 Big-IP cihazı da dahil olmak üzere ağ genelinde çeşitli giriş noktalarını kullanarak birden fazla dayanak kurdu (C2 ) sunucu.
Tahmin edilen F5 BIG-IP cihazlarını kullanarak, tehdit aktörleri tespit edilmeden üç yıl boyunca şirketten hassas müşteri ve finansal bilgileri gizlice çalabilirler.
Sygnia tarafından gözlemlenen saldırı, kurban kuruluşunun güvenlik duvarı, WAF, yük dengeleme ve yerel trafik yönetimi için kullanılan iki eski F5 Big-IP cihazından ödün vererek başladı.
Her iki cihaz da çevrimiçi olarak maruz kaldı ve savunmasız işletim sistemi versiyonları yürütüyordu. Sygnia, her ikisinin de ağ cihazlarına özel kötü amaçlı yazılım yüklemek için bilinen uzaktan kod yürütme kusurları kullanılarak tehlikeye atıldığını söylüyor.
Daha sonra, saldırganlar bu erişimi, çeşitli Çinli hackerların on yılı aşkın bir süredir veri toplama ve exfiltration için kullandığı modüler bir uzaktan erişim Truva atı (sıçan) olan PlugX'i dağıttıkları dahili dosya sunucularına erişmek için kullandılar.
F5 BIG-IP cihazına dağıtılan diğer kötü amaçlı yazılımlar şunları içerir:
Saldırganlar, ağdaki kalıcılığı korumak için tehlikeye atılan F5 BIG-IP cihazını kullandılar ve saldırgan trafiğini meşru ağ trafiğiyle harmanlarken dahili ağa erişmelerine izin vererek algılamayı zorlaştırdı.
Bu yöntem, kurumsal güvenlik duvarlarını atlar ve giden trafik kısıtlamalarını kaldırır ve saldırganların yaklaşık üç yıl boyunca alarm oluşturmadan müşteri ve finansal bilgileri çalmasını sağlar.
Sygnia, ihlalin keşfini takiben kapsamlı eradikasyon çabalarına rağmen, bilgisayar korsanlarının, erişimi korumak için F5 cihazları gibi tehlikeye atılmış dahili cihazları kullanarak, tespitten kaçınmak için Plugx'u yeni yapılandırmalarla yeniden konuşlandırdığını bildirdi.
Velvet Ant gibi sofistike ve kalıcı tehdit gruplarına karşı koymak, çok katmanlı ve bütünsel bir güvenlik yaklaşımı gerektirir.
Sygnia, aşağıdaki saldırıları tespit etmek için aşağıdaki önlemleri önerir:
Edge Network cihazları genellikle güvenlik çözümlerini desteklemediğinden ve internete maruz kalması amaçlandığından, tehdit aktörlerinin bir ağa ilk erişim elde etmeleri için popüler hedefler haline gelmiştir.
2023'te, Çin bağlantılı hackerlar, verileri çalmak ve VMware ESXI ve vCenter sunucularına döndürmek için özel bir implant yüklemek için Fortinet Zero Days'ten yararlandı.
Haftalar sonra, şüpheli bir Çin hackleme kampanyası, özel kötü amaçlı yazılım yüklemek için açılmamış Sonicwall Güvenli Mobil Erişim (SMA) cihazlarını hedefledi.
Nisan 2023'te ABD ve İngiltere, Rus devlet destekli APT28 bilgisayar korsanlarının Cisco IOS yönlendiricilerine 'Jaguar Diş' adlı özel bir kötü amaçlı yazılım kullandığı konusunda uyardı.
Mayıs 2023'te, özel kötü amaçlı yazılımları dağıtmak ve verileri çalmak için Barracuda ESG cihazlarından yedi ay boyunca kullanıldı. Bu cihazlardaki uzlaşma o kadar yaygındı ki Barracuda, şirketlerin ihlal edilen cihazların yerini geri yüklemeye çalışmak yerine önerdi.
Daha yakın zamanlarda, şüpheli devlet destekli tehdit aktörleri, dahili ağları ihlal etmek ve veri ve kimlik bilgilerini çalmak için özel bir arka kapı kurmak için bir Palo Alto Networks'ü sıfır gün kullandı.
F5, BleepingComputer'a yukarıda açıklandığı gibi çözümlerini kötüye kullanan bilgisayar korsanları hakkında aşağıdaki ifadeyi gönderdi.
F5, müşterilerimiz adına sorunları belirlemek ve çözmek için üçüncü taraflarla çalışma fırsatını takdir ediyor.
Kuruluşlar, altyapılarının artan karmaşıklığı ve siber tehditlerin artan karmaşıklığının üstünde kalmak için çalıştıkça, müşterileri öneriyoruz:
Çin hackleme grupları siber casusluk kampanyasında bir araya geliyor
Çinli hackerlar 6 yıldır askeri ve govt ağlarında saklanıyor
Çinli bilgisayar korsanları dünya çapında 20.000 Fortigate Sistemini ihlal etti
Kimuky Hacker'ları Güney Kore'ye yapılan saldırılarda yeni Linux arka kapı kullandı
Yeni BIG-IP Sonraki Merkezi Yönetici Hataları Cihaz Alınmasına İzin Ver
Kaynak: Bleeping Computer