Un groupe d’acteurs chinois présumés du cyberespionnage nommé « Velvet Ant » déploie des logiciels malveillants personnalisés sur les appliances F5 BIG-IP pour obtenir une connexion persistante au réseau interne et voler des données.

Selon un rapport de Sygnia qui a découvert l’intrusion après avoir été appelé pour enquêter sur la cyberattaque, Velvet Ant a établi plusieurs points d’ancrage en utilisant divers points d’entrée sur le réseau, y compris une ancienne appliance F5 BIG-IP qui servait de serveur de commande et de contrôle interne (C2).

En utilisant les appareils F5 BIG-IP compromis, les auteurs de la menace pourraient voler furtivement des informations sensibles sur les clients et les finances de l’entreprise pendant trois ans sans être détectés.

Utilisation du malware F5 BIG-IP dans les attaques
L’attaque observée par Sygnia a commencé par compromettre deux appliances F5 BIG-IP obsolètes que l’organisation victime utilisait pour le pare-feu, le WAF, l’équilibrage de charge et la gestion du trafic local.

Les deux appliances ont été exposées en ligne et exécutaient des versions de système d’exploitation vulnérables. Sygnia dit qu’ils ont tous deux été compromis en utilisant des failles connues d’exécution de code à distance pour installer des logiciels malveillants personnalisés sur les périphériques réseau.

Ensuite, les attaquants ont utilisé cet accès pour accéder aux serveurs de fichiers internes où ils ont déployé PlugX, un cheval de Troie modulaire d’accès à distance (RAT), que divers pirates chinois utilisent pour la collecte et l’exfiltration de données depuis plus d’une décennie maintenant.

D’autres logiciels malveillants déployés sur l’appliance F5 BIG-IP incluent:

  • PMCD: Se connecte au serveur C&C toutes les heures, exécute les commandes reçues du serveur via ‘ssh’, en maintenant le contrôle à distance.
  • MCDP: Capture les paquets réseau, exécutés avec l’argument de carte réseau ‘mgmt’, assurant une surveillance réseau persistante.
  • SAMRID( ver de terre): Un tunnelier proxy SOCKS open source utilisé pour créer des tunnels sécurisés, précédemment utilisé par divers groupes parrainés par l’État chinois.
  • ESRD: Similaire à PMCD, il utilise ‘bash’ pour l’exécution des commandes, permettant le contrôle et la persistance des commandes à distance.

Les attaquants ont utilisé l’appliance F5 BIG-IP compromise pour conserver la persistance sur le réseau, leur permettant d’accéder au réseau interne tout en mélangeant le trafic des attaquants avec le trafic réseau légitime, ce qui rend la détection plus difficile.

Cette méthode contourne les pare-feu d’entreprise et lève les restrictions de trafic sortant, permettant aux attaquants de voler des informations clients et financières sans déclencher d’alarme pendant près de trois ans.

Chaîne de réinfection

Sygnia rapporte que malgré des efforts d’éradication importants après la découverte de la violation, les pirates ont redéployé PlugX avec de nouvelles configurations pour éviter la détection, en utilisant des périphériques internes compromis comme les appliances F5 pour conserver l’accès.

Recommandations de la défense
Contrer les groupes de menaces sophistiqués et persistants comme Velvet Ant nécessite une approche de sécurité holistique à plusieurs niveaux.

Sygnia recommande les mesures suivantes pour détecter de telles attaques:

  • Limitez les connexions sortantes pour minimiser les communications C & C.
  • Mettez en œuvre des contrôles stricts sur les ports de gestion et améliorez la segmentation du réseau.
  • Donner la priorité au remplacement des systèmes hérités et au renforcement des contrôles de sécurité.
  • Déployez des systèmes EDR robustes dotés de fonctionnalités anti-altération et activez des mesures de sécurité telles que Windows Credential Guard.
  • Améliorez la sécurité des périphériques périphériques grâce à la gestion des correctifs, à la détection des intrusions et à la migration vers des solutions basées sur le cloud.

Étant donné que les périphériques réseau périphériques ne prennent généralement pas en charge les solutions de sécurité et sont destinés à être exposés à Internet, ils sont devenus des cibles populaires pour les auteurs de menaces pour obtenir un accès initial à un réseau.

En 2023, des pirates informatiques liés à la Chine ont exploité Fortinet zero-days pour installer un implant personnalisé afin de voler des données et de basculer vers les serveurs VMware ESXi et vCenter.

Quelques semaines plus tard, une campagne de piratage chinoise présumée a ciblé des appliances SonicWall Secure Mobile Access (SMA) non corrigées pour installer des logiciels malveillants personnalisés.

En avril 2023, les États-Unis et le Royaume-Uni ont averti que les pirates informatiques APT28 parrainés par l’État russe déployaient un logiciel malveillant personnalisé nommé « Jaguar Tooth » sur les routeurs Cisco IOS.

En mai 2023, les appareils Barracuda ESG ont été exploités pendant sept mois pour déployer des logiciels malveillants personnalisés et voler des données. Le compromis sur ces appareils était si omniprésent que Barracuda a recommandé aux entreprises de remplacer les appareils compromis plutôt que d’essayer de les restaurer.

Plus récemment, des auteurs présumés de menaces parrainés par un État ont exploité un zero-day de Palo Alto Networks pour installer une porte dérobée personnalisée afin de violer les réseaux internes et de voler des données et des informations d’identification.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *