Een vermoedelijke cyberspionage-acteur op het Chinese nexus-gebied wordt toegeschreven als verantwoordelijke voor een langdurige aanval op een niet bij naam genoemde organisatie in Oost-Azië gedurende een periode van ongeveer drie jaar, waarbij de tegenstander standvastig bleef door gebruik te maken van verouderde F5 BIG-IP-apparaten en deze als een intern netwerk te gebruiken. command-and-control (C&C) voor doeleinden van verdedigingsontduiking.
Cyberbeveiligingsbedrijf Sygnia, dat eind 2023 op de inbraak reageerde, volgt de activiteit onder de naam Fluwelen mierwaarbij het wordt gekarakteriseerd als een land dat beschikt over robuuste capaciteiten om snel te kunnen schakelen en hun tactieken aan te passen aan tegenherstelinspanningen.
“Velvet Ant is een geavanceerde en innovatieve dreigingsacteur”, zei het Israëlische bedrijf in een technisch rapport gedeeld met The Hacker News. “Ze verzamelden gedurende een lange periode gevoelige informatie, waarbij de nadruk lag op klant- en financiële informatie.”
De aanvalsketens omvatten het gebruik van een bekende achterdeur genaamd PlugX (ook bekend als Korplug), een modulaire trojan voor externe toegang (RAT) die op grote schaal wordt gebruikt door spionageoperatoren die banden hebben met Chinese belangen. Het is bekend dat PlugX sterk afhankelijk is van een techniek genaamd DLL side-loading om apparaten te infiltreren.
Sygnia zei dat het ook pogingen van de bedreigingsacteur heeft geïdentificeerd om endpoint-beveiligingssoftware uit te schakelen voordat PlugX wordt geïnstalleerd, met open-source tools zoals Impacket die worden gebruikt voor zijdelingse verplaatsing.
Als onderdeel van de incidentrespons- en herstelinspanningen werd ook een herwerkte variant van PlugX geïdentificeerd die gebruik maakte van een interne bestandsserver voor C&C, waardoor het kwaadaardige verkeer zich kon vermengen met legitieme netwerkactiviteit.
“Dit betekende dat de bedreigingsacteur twee versies van PlugX binnen het netwerk implementeerde”, aldus het bedrijf. “De eerste versie, geconfigureerd met een externe C&C-server, werd geïnstalleerd op eindpunten met directe internettoegang, waardoor het exfiltreren van gevoelige informatie mogelijk werd gemaakt. De tweede versie had geen C&C-configuratie en werd uitsluitend op oudere servers ingezet.”
In het bijzonder bleek de tweede variant verouderde F5 BIG-IP-apparaten te hebben misbruikt als een geheim kanaal om met de externe C&C-server te communiceren door opdrachten uit te voeren via een omgekeerde SSH-tunnel, wat nogmaals benadrukt hoe compromitterende edge-apparaten het mogelijk kunnen maken dreigingsactoren kunnen gedurende langere perioden volhouden.
“Er is maar één ding nodig om een massale exploitatie-incident te laten plaatsvinden, en dat is een kwetsbare edge-service, dat wil zeggen een stukje software dat toegankelijk is vanaf internet”, aldus WithSecure in een recente analyse.
“Apparaten zoals deze zijn vaak bedoeld om een netwerk veiliger te maken, maar toch worden er keer op keer kwetsbaarheden in dergelijke apparaten ontdekt en uitgebuit door aanvallers, waardoor ze een perfecte voet aan de grond krijgen in een doelnetwerk.”
Daaropvolgende forensische analyse van de gehackte F5-apparaten heeft ook de aanwezigheid aan het licht gebracht van een tool genaamd PMCD die elke 60 minuten de C&C-server van de bedreigingsacteur ondervraagt om te zoeken naar uit te voeren opdrachten, evenals aanvullende programma's voor het vastleggen van netwerkpakketten en het SOCKS-tunnelinghulpprogramma genaamd EarthWorm. dat is gebruikt door acteurs als Gelsemium en Lucky Mouse.
De exacte initiële toegangsvector – of het nu gaat om spear-phishing of het exploiteren van bekende beveiligingsfouten in systemen die zijn blootgesteld aan het internet – die wordt gebruikt om de doelomgeving te doorbreken, is momenteel niet bekend.
De ontwikkeling volgt op de opkomst van nieuwe met China verbonden clusters, gevolgd als Unfading Sea Haze, Operation Diplomatic Spectre en Operation Crimson Palace, die zijn waargenomen gericht op Azië met als doel gevoelige informatie te verzamelen.
