یک گروه هکری اطلاعات حساس یک شرکت را می‌دزدید و از وسایل آسیب‌پذیر F5 BIG-IP برای نفوذ و دستیابی به پایداری استفاده می‌ کرد.

گزارشی از محققان امنیت سایبری Sygnia نشان می‌دهد که چگونه این گروه، که گمان می‌رود منشأ چینی داشته باشد، چندین نقطه پایانی F5 BIG-IP را پیدا کرده است که نسخه‌های آسیب‌پذیر سیستم‌عامل را اجرا می‌کنند.

آنها از آسیب‌پذیری‌های شناخته‌شده برای استقرار PlugX، یک تروجان دسترسی از راه دور مدولار (RAT) استفاده کردند که ظاهراً راه‌حلی برای بسیاری از عوامل تهدید چینی است. PlugX که تقریباً یک دهه است در بازار سیاه موجود است، معمولاً برای برداشت و استخراج اطلاعات از نقاط پایانی در معرض خطر استفاده می شود.

مورچه مخملی

علاوه بر PlugX، این گروه از تعداد زیادی بدافزار دیگر، از جمله PMCD (برای حفظ کنترل از راه دور استفاده می‌شود)، MCDP (تضمین نظارت مداوم شبکه)، SAMRID (AKA EarthWorm، یک تونل‌ساز پروکسی SOCKS) و ESRDE که برای کنترل فرمان از راه دور استفاده می‌شود، استفاده کرد. و پشتکار Sygnia گزارش می‌دهد که علی‌رغم تلاش‌های گسترده برای ریشه‌کنی پس از کشف نفوذ، هکرها PlugX را با پیکربندی‌های جدید مجدداً برای جلوگیری از شناسایی، با استفاده از دستگاه‌های داخلی آسیب‌دیده مانند وسایل F5 برای حفظ دسترسی، مستقر کردند.

در حالی که Sygnia نامی از سازمان آسیب پذیر (که ظاهراً در شرق آسیا مستقر است) را ذکر نکرد، بيان کرد که حذف بدافزار از نمونه های F5 BIG-IP یک چالش است و این گروه به محض پاکسازی دستگاه ها، PlugX را مجدداً مستقر کرد.

با توجه به آنچه گفته شد، محققان اکنون به سازمان‌های آسیب‌پذیر توصیه می‌کنند اقدامات متعددی انجام دهند، از جمله محدود کردن اتصالات خروجی، اجرای کنترل‌های سختگیرانه بر روی پورت‌های مدیریتی، استقرار سیستم‌های EDR قوی، افزایش امنیت برای دستگاه‌های لبه‌ای و در نهایت - جایگزینی سیستم‌های قدیمی. از این گذشته، دستگاه‌های مورد نظر نسخه‌های آسیب‌پذیر سیستم عامل را اجرا می‌کردند و می‌توانستند با به‌روزرسانی نگه‌داشتن دستگاه‌ها از حملات جلوگیری کنند.

این گروه Velvet Ant نام دارد.

از طریق Bleeping Computer

بیشتر از TechRadar Pro