- 12,451
- 18
- 8 Ноя 2022
Хакеры используют «слепые зоны» системы безопасности для незаметных атак.
В начале 2024 года китайская группировка Velvet Ant воспользовалась недавно устранённой уязвимостью нулевого дня ( Zero-Day ) в коммутаторах Cisco для получения контроля над устройствами и обхода систем обнаружения угроз.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS 6.7) позволила злоумышленникам внедрить уникальное вредоносное ПО и получить обширный контроль над заражённой системой, что облегчило как кражу данных, так и сохранение доступа.
По Для просмотра ссылки Войдиили Зарегистрируйся Sygnia, Velvet Ant использовала эксплойт для выполнения произвольных команд на Linux, работающей под оболочкой NX-OS. Для успешного проведения атаки киберпреступникам были необходимы действительные учетные данные администратора для доступа к консоли управления коммутатором.
Специалисты Sygnia впервые обратили внимание на группу Velvet Ant Для просмотра ссылки Войдиили Зарегистрируйся направленной против некой организации в Восточной Азии. В ходе кампании Velvet Ant использовала устаревшие устройства F5 BIG-IP для создания устойчивого доступа к скомпрометированной среде.
Обнаружение скрытой эксплуатации уязвимости CVE-2024-20399 Для просмотра ссылки Войдиили Зарегистрируйся что побудило Cisco выпустить обновления безопасности для устранения данной проблемы. Группа Velvet Ant продемонстрировала высокий уровень технической подготовки и способность адаптировать свои методы, переходя от заражения новых систем Windows к устаревшим серверам и сетевым устройствам, что позволяет избегать обнаружения.
По мнению специалистов Sygnia, переход к использованию внутренних сетевых устройств является новой тактикой обхода систем защиты. Последняя цепочка атак включала взлом коммутатора Cisco с использованием уязвимости CVE-2024-20399, проведение разведывательных операций и выполнение вредоносного скрипта, что в итоге привело к запуску бэкдора.
Вредоносная программа, получившая название VELVETSHELL, представляет собой комбинацию двух инструментов с открытым исходным кодом: Unix-бэкдора Для просмотра ссылки Войдиили Зарегистрируйся и прокси-утилиты Для просмотра ссылки Войди или Зарегистрируйся . Вредонос скрывается на уровне ОС и позволяет выполнять произвольные команды, загружать и выгружать файлы, а также устанавливать туннели для проксирования сетевого трафика.
Действия «Velvet Ant» подчеркивают высокую степень риска, связанного с использованием стороннего оборудования и приложений в корпоративной сети. Зачастую такие устройства являются «чёрным ящиком», поскольку они в основном скрыты от пользователя, что делает их потенциальной мишенью для злоумышленников.
В начале 2024 года китайская группировка Velvet Ant воспользовалась недавно устранённой уязвимостью нулевого дня ( Zero-Day ) в коммутаторах Cisco для получения контроля над устройствами и обхода систем обнаружения угроз.
Уязвимость Для просмотра ссылки Войди
По Для просмотра ссылки Войди
Специалисты Sygnia впервые обратили внимание на группу Velvet Ant Для просмотра ссылки Войди
Обнаружение скрытой эксплуатации уязвимости CVE-2024-20399 Для просмотра ссылки Войди
По мнению специалистов Sygnia, переход к использованию внутренних сетевых устройств является новой тактикой обхода систем защиты. Последняя цепочка атак включала взлом коммутатора Cisco с использованием уязвимости CVE-2024-20399, проведение разведывательных операций и выполнение вредоносного скрипта, что в итоге привело к запуску бэкдора.
Вредоносная программа, получившая название VELVETSHELL, представляет собой комбинацию двух инструментов с открытым исходным кодом: Unix-бэкдора Для просмотра ссылки Войди
Действия «Velvet Ant» подчеркивают высокую степень риска, связанного с использованием стороннего оборудования и приложений в корпоративной сети. Зачастую такие устройства являются «чёрным ящиком», поскольку они в основном скрыты от пользователя, что делает их потенциальной мишенью для злоумышленников.
- Источник новости
- www.securitylab.ru
