Ciberdelincuentes utilizan malware en F5 BIG-IP para robar datos

Un grupo de actores de ciberespionaje chino, denominado ‘Velvet Ant’, está desplegando malware personalizado en dispositivos F5 BIG-IP para mantener una conexión persistente a la red interna y robar datos.

Según un informe de Sygnia, Velvet Ant estableció múltiples puntos de acceso utilizando varias entradas en toda la red, incluido un dispositivo F5 BIG-IP que servía como servidor de comando y control interno (C2). Utilizando los dispositivos F5 BIG-IP comprometidos, los actores de amenazas pudieron robar información sensible de clientes y financiera de la empresa durante tres años sin ser detectados.

Uso de malware en F5 BIG-IP en ataques

El ataque detectado por Sygnia comenzó comprometiendo dos dispositivos F5 BIG-IP obsoletos que la organización víctima utilizaba como cortafuegos, WAF, balanceo de carga y gestión de tráfico local.

Ambos dispositivos estaban expuestos en línea y ejecutaban versiones de OS vulnerables. Fueron comprometidos utilizando vulnerabilidades conocidas de ejecución remota de código para instalar malware personalizado.

Los atacantes utilizaron este acceso para llegar a servidores de archivos internos donde desplegaron PlugX, un troyano modular de acceso remoto (RAT) que ha sido utilizado por hackers chinos para la recolección y exfiltración de datos durante más de una década.

Otros malware desplegados en el dispositivo F5 BIG-IP incluyen:

  • PMCD: Se conecta al servidor C&C cada hora, ejecuta comandos recibidos desde el servidor a través de ‘csh’, manteniendo el control remoto.
  • MCDP: Captura paquetes de red, ejecutado con el argumento ‘mgmt’ NIC, asegurando el monitoreo persistente de la red.
  • SAMRID (EarthWorm): Un proxy SOCKS de código abierto utilizado para crear túneles seguros.
  • ESRDE: Similar a PMCD, usa ‘bash’ para la ejecución de comandos, permitiendo el control remoto y la persistencia.

Los atacantes utilizaron el dispositivo F5 BIG-IP comprometido para mantener la persistencia en la red, permitiéndoles acceder a la red interna mientras mezclaban el tráfico atacante con el tráfico legítimo, dificultando su detección. Este método evita los firewalls corporativos y elimina las restricciones de tráfico saliente, permitiendo a los atacantes robar información de clientes y financiera sin levantar alarmas durante casi tres años.

A pesar de los extensos esfuerzos de erradicación tras el descubrimiento de la brecha, los hackers volvieron a desplegar PlugX con nuevas configuraciones para evitar la detección, utilizando dispositivos internos comprometidos como los F5 para mantener el acceso.

Recomendaciones de seguridad

Contrarrestar grupos de amenazas sofisticados y persistentes como Velvet Ant requiere un enfoque de seguridad multinivel y holístico. Las siguientes medidas recomendades para detectar ataques como estos son:

  • Restringir las conexiones salientes para minimizar las comunicaciones C&C.
  • Implementar controles estrictos sobre los puertos de gestión y mejorar la segmentación de la red.
  • Priorizar la sustitución de sistemas heredados y ajustar los controles de seguridad.
  • Desplegar sistemas robustos de EDR con características anti-manipulación y habilitar medidas de seguridad como Windows Credential Guard.
  • Mejorar la seguridad de los dispositivos perimetrales a través de la gestión de parches, detección de intrusiones y migración a soluciones basadas en la nube.

Los dispositivos de red perimetrales no suelen soportar soluciones de seguridad y están destinados a estar expuestos a Internet, lo que los convierte en objetivos populares para actores de amenazas que buscan obtener acceso inicial a una red.

Más información: https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/

Noticia original en inglés

Filed under
Ciberataques
Previous Next
For this post, the comments have been closed.