Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Dispositivi F5 BIG-IP usati per anni per sottrarre dati aziendali
Velvet Ant, un gruppo di attaccanti cinesi, ha sfruttato per anni F5 BIG-IP per ottenere persistenza nelle rete aziendali e sottrarre dati sensibili; a scoprirlo sono stati i ricercatori di Sygnia: a fine 2023 il team ha analizzato un grosso cyber attaccato ai danni di una grande organizzazioni e ha rivelato che il gruppo di black-hat hacker è rimasto nella rete aziendale per circa tre anni senza mai essere scoperto.
Pixabay
F5 BIG-IP è un’appliance che offre servizi avanzati di gestione del traffico e sicurezza come bilanciamento del carico, offload SSL/TLS, DNS e firewall per migliorare la disponibilità e le performance delle applicazioni.
Compromettendo questi dispositivi, il gruppo è riuscito a esercitare un controllo significativo sul traffico di rete senza mai destare sospetti. Poiché generalmente le aziende fanno più attenzione alla sicurezza applicativa, i log dei sistemi operativi vengono spesso ignorati; per questo i dispositivi F5 si sono rivelati il posto perfetto per posizionare la backdoor e permettere al gruppo di eludere i controlli di sicurezza.
“L’organizzazione compromessa disponeva di due appliance F5 BIG-IP che fornivano servizi quali firewall, WAF, bilanciamento del carico e gestione del traffico locale. Queste appliance erano direttamente esposte a Internet e sono state entrambe compromesse” affermano i ricercatori. Entrambi i dispositivi eseguivano versioni obsolete e vulnerabili del sistema operativo, e gli attaccanti hanno sfruttato una delle vulnerabilità per ottenere accesso remoto ai device.
Dopo aver ottenuto l’accesso ai file del dispositivo Velvet Ant ha eseguito PlugX, un trojan ad accesso remoto utilizzato da gruppi state-sponsored cinesi fin dal 2008. La versione base del trojan consente l’accesso remoto ai sistemi, ma grazie al suo sistema modulare può essere arricchito di ulteriori funzionalità.
I dispositivi F5 BIG-IP colpiti da altri malware
Oltre a PlugX, utilizzando per la comunicazione col server C2, il gruppo ha diffuso altri quattro malware nella rete. Uno di questi è VELVETSTING, un tool che si connette al server C2 una volta ogni ora per ricevere eventuali comandi ed eseguirli.
Gli altri malware sono VELVETTAP, uno strumento in grado di ottenere i pacchetti di rete; SAMRID, conosciuto anche come EarthWorm, un tool open-source per il tunneling; infine ESRDE, uno strumento simile a VELVETSTING che utilizza bash invece di csh.
Nel corso degli anni il gruppo ha utilizzato diversi tool e tecniche per infiltrarsi nei sistemi critici e accedere a informazioni sensibili. I ricercatori di Sygnia spiegano che il gruppo è riuscito a familiarizzare con la complessa infrastruttura di rete dell’organizzazione e ottenere così persistenza in numerose aree della rete.
Il team di Sygnia è riuscito inizialmente a eliminare la presenza del gruppo dalla rete, ma dopo qualche giorno Velvet Ant è tornato alla carica infettando nuovi host.
Per proteggersi da questo tipo di attacchi, i ricercatori di Sygnia consigliano di limitare le connessioni in uscita verso il web e analizzare attentamente il traffico interno per ridurre il rischio di movimento laterale. È fondamentale inoltre mantenere aggiornati i sistemi e dismettere il prima possibile i server legacy; infine, occorre implementare soluzioni EDR per intercettare eventuali azioni malevoli e mitigare la raccolta di credenziali.
Condividi l'articolo
Scoperti siti web legittimi usati per distribuire una backdoor
Cylance sotto attacco: dati compromessi e venduti online
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
