Er zijn details naar buiten gekomen over een cybercriminele groep die een onlangs onthulde, inmiddels gepatchte, beveiligingsfout in Cisco-switches heeft misbruikt als zero-day om de controle over het apparaat over te nemen en detectie te omzeilen.
De activiteit, toegeschreven aan Velvet Ant, werd begin dit jaar waargenomen en betrof de inzet van CVE-2024-20399 (CVSS-score: 6,0) als wapen om op maat gemaakte malware te verspreiden en uitgebreide controle te krijgen over het gecompromitteerde systeem, waardoor zowel data-exfiltratie als permanente toegang mogelijk werd.
“De zero-day exploit maakt het voor een aanvaller met geldige beheerdersreferenties voor de Switch-beheerconsole mogelijk om de NX-OS-opdrachtregelinterface (CLI) te omzeilen en willekeurige opdrachten uit te voeren op het onderliggende Linux-besturingssysteem”, aldus cybersecuritybedrijf Sygnia in een rapport dat is gedeeld met The Hacker News.
Velvet Ant trok voor het eerst de aandacht van onderzoekers bij het Israëlische cybersecuritybedrijf in verband met een meerjarige campagne die gericht was op een anonieme organisatie in Oost-Azië. Hierbij werden oude F5 BIG-IP-apparaten gebruikt als uitgangspunt voor het instellen van persistentie in de gecompromitteerde omgeving.
De heimelijke exploitatie van CVE-2024-20399 door de kwaadwillende partij kwam begin vorige maand aan het licht, waarna Cisco beveiligingsupdates uitbracht om de fout te verhelpen.
Opvallend aan het vakmanschap van de groep is het niveau van verfijning en de vormveranderende tactieken die ze hanteren. In eerste instantie infiltreren ze nieuwe Windows-systemen, maar later stappen ze ook over op oudere Windows-servers en netwerkapparaten in een poging om onopgemerkt te blijven.
“De overgang naar het werken met interne netwerkapparaten markeert een nieuwe escalatie in de ontwijkingstechnieken die worden gebruikt om de voortzetting van de spionagecampagne te waarborgen”, aldus Sygnia.
De nieuwste aanvalsketen bestaat uit het inbreken in een Cisco-switchapparaat met behulp van CVE-2024-20399 en het uitvoeren van verkenningsactiviteiten. Vervolgens wordt er overgeschakeld naar meer netwerkapparaten en uiteindelijk wordt er een backdoor-binair bestand uitgevoerd met behulp van een schadelijk script.
De payload, genaamd VELVETSHELL, is een samenvoeging van twee open-source tools, een Unix backdoor genaamd Tiny SHell en een proxy utility genaamd 3proxy. Het ondersteunt ook mogelijkheden om willekeurige commando’s uit te voeren, bestanden te downloaden/uploaden en tunnels te maken voor proxying van netwerkverkeer.
“De modus operandi van ‘Velvet Ant’ benadrukt risico’s en vragen met betrekking tot apparaten en applicaties van derden die organisaties aan boord hebben”, aldus het bedrijf. “Vanwege de ‘black box’-aard van veel apparaten, heeft elk stuk hardware of software het potentieel om een aanvalsoppervlak te worden dat een tegenstander kan misbruiken.”