【零存在感】中國黑客Velvet Ant利用過時F5設備 潛伏三年無人察覺
一個被稱為 Velvet Ant 的中國網絡集團,被發現利用 F5 BIG-IP 設備的安全弱點,不單只成功入侵多間企業及組織,而且更潛伏在其中一個機構內部網絡接近三年時間!
專家指這個集團非常成熟及狡猾,使用了多種迴避偵測手段,以及難以剷除的立足點。有如此高的入侵技術,又長時間潛伏在網絡深處刺探機密情報,屬國家支援黑客集團的機率極高。
根據網絡安全公司 Sygnia 發表的調查報告,這個被他們稱為 Velvet 擁有非常高的入侵技巧及會與時並進,毫不猶疑地使用新的入侵技術,攻擊手法靈活有效率。而且黑客對硬件及網絡系統結構有深刻的理解,因而能夠策略性地破壞關鍵系統,並非法獲得對敏感資料的訪問權限。而在這次分享的受害個案中,其中一個便遭對方潛入網絡近三年時間卻懵然不覺。
專家解釋,他們首先在客戶的電腦設備上發現惡意軟件 PlugX,因而與客戶合作,嘗試了解對方的策略、技術、流程(TTP)。調查期間,專家發現對方使用了很多近年流行的感染方法,當中包括 DLL 尋序搜尋挾持、DLL 側載,以及幻影 DLL 載入等,但在部署惡意軟件之前,黑客首先會嘗試修改目標裝置上的安全工具設定,令感染過程不會產生警報,如無法達成目標,黑客便會放棄在該設備上部署惡意軟件,轉而橫向搜尋合適的設備。
期間,專家便發現黑客曾鎖定攻擊一部已終止支援的 Windows Server 2003 檔案伺服器下手,相信是看中這些伺服器並未部署 EDR 解決方案;黑客又會利用開源工具 Impacket 執行編碼,並建立防火牆規則以允許連接到命令控制中心(C&C),顯示出黑客具有良好的運作安全(OPSEC) 意識,盡量令行動保持隱密。
專業入侵技術疑屬國家支援黑客集團
此外,專家發現黑客還利用了受害機構曝露於互聯網上的兩部過時 F5 BIG-IP 設備,它們的作用是充當防火牆、WAF、管理本地流量服務,不過由於存在已知漏洞,因此成為黑客的感染目標。在其中一部受感染的F5 裝置上,黑客部署了多種惡意工具,包括用於接收控制中心指令的 VelvetSting、捕捉網絡封包的 VelvetTap,另外還有控制傳輸閘道的 EarthWorm 及 Esrde。
考慮到受攻擊的目標組織身份,以及所使用的側載技術,專家認為並不屬於一般以利益或破壞為目標的黑客所為,而是屬於以收集機密情報為主要目的的國家級黑客組織。而這次入侵亦非無可避免,特別是一些過了廠方支援期限或仍在使用舊版本系統的裝置,企業或機構必須及早替換及持續更新系統,確保不會有漏洞出現。
資料來源:https://www.securityweek.com/chinese-hackers-leveraged-legacy-f5-big-ip-appliance-for-persistence/