More

    Kineski hakeri hakovali F5 load balancer-e u posljednje dvije godine

    Hakeri se često fokusiraju na F5 balansere opterećenja iz nekoliko razloga, jer su to vitalni dijelovi mnogih poslovnih mreža koji balansiraju opterećenje i upravljaju prometom.

    Ako su ovi balanseri opterećenja izloženi riziku, oni mogu otkriti povjerljive informacije, onemogućiti funkcije ili biti medij za dalje hakerske mreže.

    Istraživači sajber sigurnosti u Sygniji nedavno su otkrili da su kineski hakeri aktivno hakovali F5 balansere opterećenja u posljednje dvije godine.

    Grupa prijetnji Velvet Ant ušla je u sistem određene organizacije više od dvije godine, što je Sygnia otkrila krajem 2023.

    Bili su tako pametni; čak su znali sve o složenoj strukturi.

    Međutim, Sygnia je to pokušala ublažiti. Jedan haker se vraćao mnogo puta iskorištavajući latentne mehanizme postojanosti na zastarjelim serverima i nezakrpljenim mrežnim uređajima i upuštajući se u klasičnu igru ​​mačke i miša.

    U ovom trenutku, Velvet Ant je koristio metodologije otmice toka izvršavanja, kao što je otmica naloga pretraživanja DLL-a , kako bi povratio pristup.

    Nakon prvobitne sanacije, napadači su skrenuli pažnju na stare Windows Server 2003 sisteme bez zaštite krajnjih tačaka i nastavili sa radom koristeći prethodno raspoređeni PlugX malver.

    PlugX, modularni trojanac za daljinski pristup koji koriste kineske grupe, omogućava preuzimanje legitimnih procesa kroz DLL bočno učitavanje.

    Isječak iz VMRay sandbox (izvor – Sygnia)

    Sygnia je dobila memorijske deponije koje pokazuju prikupljene vjerodajnice i potajno izvršene komande na nenadziranim naslijeđenim serverima, otkrivajući neuhvatljive taktike trajnih protivnika nakon napora očvršćavanja.

    U ovoj prijetnji, ciljanoj na novije Windows sisteme, napadač je ugrozio proizvod Endpoint Detection and Response (EDR) prije nego što je implementirao PlugX malver s vrlo visokim nivoom operativne sigurnosti.

    Bočno pomicanje je izvršeno pomoću Imppacketa, dok je daljinsko izvršenje komande obavljeno preko WMI. Nakon inicijalne sanacije, PlugX se ponovo pojavio i rekonfigurisao da koristi interni server datoteka kao prikriveni kanal za komandu i kontrolu (C2).

    Eksploatacija aparata F5 (Izvor – Sygnia)

    Sygnia je ovo pratila do narušenog naslijeđenog F5 balansera opterećenja sa zastarjelim OS-om koji je tunelisao promet između C2 servera i PlugX-om zaraženog servera datoteka koji je za njega djelovao kao interni proxy.

    Dobivši tako nejasno uporište, uporni hakeri su se vratili kroz njega kako bi izvršili izviđanje i potom proširili PlugX preko starijih mreža koristeći SMB i WMI.

    Hakeri su postavili četiri binarne datoteke, a ovdje ispod smo ih spomenuli:-

    • VELVETSTING
    • VELVETTAP
    • SAMRID
    • ESRDE

    Uprkos ponovljenim pokušajima uklanjanja, haker je ostao ukorijenjen u ugroženoj mreži oko tri godine, pokazujući zajedničke alate, infrastrukturu i resurse koje koriste kineski setovi za upad. 

    Međutim, ograničena vidljivost spriječila je konačnu atribuciju i isključila mogućnost operacije lažne zastavice od strane druge napredne grupe upornih prijetnji.

    Odbrambene strategije

    Ovdje ispod smo spomenuli sve odbrambene strategije koje obezbjeđuju sigurnosni analitičari:-

    • Ograničite odlazni internet saobraćaj
    • Ograničite bočno kretanje kroz mrežu
    • Poboljšajte sigurnosnu zaštitu naslijeđenih servera
    • Ublažite prikupljanje akreditiva
    • Zaštitite javne uređaje

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories