Aggiornamenti recenti Agosto 13th, 2025 11:24 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
Dispositivi F5 BIG-IP usati per anni per sottrarre dati aziendali
Velvet Ant, un gruppo di attaccanti cinesi, ha sfruttato per anni F5 BIG-IP per ottenere persistenza nelle rete aziendali e sottrarre dati sensibili; a scoprirlo sono stati i ricercatori di Sygnia: a fine 2023 il team ha analizzato un grosso cyber attaccato ai danni di una grande organizzazioni e ha rivelato che il gruppo di black-hat hacker è rimasto nella rete aziendale per circa tre anni senza mai essere scoperto.
Pixabay
F5 BIG-IP è un’appliance che offre servizi avanzati di gestione del traffico e sicurezza come bilanciamento del carico, offload SSL/TLS, DNS e firewall per migliorare la disponibilità e le performance delle applicazioni.
Compromettendo questi dispositivi, il gruppo è riuscito a esercitare un controllo significativo sul traffico di rete senza mai destare sospetti. Poiché generalmente le aziende fanno più attenzione alla sicurezza applicativa, i log dei sistemi operativi vengono spesso ignorati; per questo i dispositivi F5 si sono rivelati il posto perfetto per posizionare la backdoor e permettere al gruppo di eludere i controlli di sicurezza.
“L’organizzazione compromessa disponeva di due appliance F5 BIG-IP che fornivano servizi quali firewall, WAF, bilanciamento del carico e gestione del traffico locale. Queste appliance erano direttamente esposte a Internet e sono state entrambe compromesse” affermano i ricercatori. Entrambi i dispositivi eseguivano versioni obsolete e vulnerabili del sistema operativo, e gli attaccanti hanno sfruttato una delle vulnerabilità per ottenere accesso remoto ai device.
Dopo aver ottenuto l’accesso ai file del dispositivo Velvet Ant ha eseguito PlugX, un trojan ad accesso remoto utilizzato da gruppi state-sponsored cinesi fin dal 2008. La versione base del trojan consente l’accesso remoto ai sistemi, ma grazie al suo sistema modulare può essere arricchito di ulteriori funzionalità.
I dispositivi F5 BIG-IP colpiti da altri malware
Oltre a PlugX, utilizzando per la comunicazione col server C2, il gruppo ha diffuso altri quattro malware nella rete. Uno di questi è VELVETSTING, un tool che si connette al server C2 una volta ogni ora per ricevere eventuali comandi ed eseguirli.
Gli altri malware sono VELVETTAP, uno strumento in grado di ottenere i pacchetti di rete; SAMRID, conosciuto anche come EarthWorm, un tool open-source per il tunneling; infine ESRDE, uno strumento simile a VELVETSTING che utilizza bash invece di csh.
Nel corso degli anni il gruppo ha utilizzato diversi tool e tecniche per infiltrarsi nei sistemi critici e accedere a informazioni sensibili. I ricercatori di Sygnia spiegano che il gruppo è riuscito a familiarizzare con la complessa infrastruttura di rete dell’organizzazione e ottenere così persistenza in numerose aree della rete.
Il team di Sygnia è riuscito inizialmente a eliminare la presenza del gruppo dalla rete, ma dopo qualche giorno Velvet Ant è tornato alla carica infettando nuovi host.
Per proteggersi da questo tipo di attacchi, i ricercatori di Sygnia consigliano di limitare le connessioni in uscita verso il web e analizzare attentamente il traffico interno per ridurre il rischio di movimento laterale. È fondamentale inoltre mantenere aggiornati i sistemi e dismettere il prima possibile i server legacy; infine, occorre implementare soluzioni EDR per intercettare eventuali azioni malevoli e mitigare la raccolta di credenziali.
Condividi l'articolo
Scoperti siti web legittimi usati per distribuire una backdoor
Cylance sotto attacco: dati compromessi e venduti online
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi...
Ransomware: la serie
No posts found.