Gli hacker cinesi di Velvet Ant utilizzano gli exploit sugli apparati Cisco per infiltrarsi nelle reti aziendali

All’inizio del 2024, il gruppo cinese Velvet Ant ha approfittato di una vulnerabilità ZeroDay recentemente corretta negli switch Cisco per ottenere il controllo dei dispositivi e aggirare i sistemi di rilevamento delle minacce.

La vulnerabilità CVE-2024-20399 (punteggio CVSS 6,7) ha consentito agli aggressori di implementare malware unici e ottenere un ampio controllo sul sistema infetto, rendendo più semplice sia il furto dei dati che il mantenimento dell’accesso.

Secondo Sygnia, Velvet Ant ha utilizzato un exploit per eseguire comandi arbitrari su Linux in esecuzione sotto la shell NX-OS. Per portare a termine con successo l’attacco, i criminali informatici avevano bisogno di credenziali di amministratore valide per accedere alla console di gestione dello switch.

Gli specialisti di Sygnia hanno attirato per la prima volta l’attenzione sul gruppo Velvet Ant come parte di una campagna pluriennale diretta contro una certa organizzazione nell’Asia orientale. Durante la campagna, Velvet Ant ha utilizzato dispositivi F5 BIG-IP legacy per creare un accesso persistente a un ambiente compromesso.

La scoperta dello sfruttamento latente della vulnerabilità CVE-2024-20399 è avvenuta all’inizio di luglio, spingendo Cisco a rilasciare aggiornamenti di sicurezza per risolvere il problema. Il gruppo Velvet Ant ha dimostrato un elevato livello di competenza tecnica e la capacità di adattare i propri metodi, passando dall’infezione di nuovi sistemi Windows a server e dispositivi di rete legacy, eludendo così il rilevamento.

Secondo gli esperti di Sygnia, il passaggio all’utilizzo di dispositivi di rete interni è una nuova tattica per aggirare i sistemi di sicurezza. L’ultima catena di attacchi ha coinvolto l’hacking di uno switch Cisco sfruttando la vulnerabilità CVE-2024-20399, l’esecuzione di operazioni di ricognizione e l’esecuzione di uno script dannoso, che alla fine ha portato al lancio di una backdoor.

Il malware, soprannominato VELVETSHELL, è una combinazione di due strumenti open source: la backdoor Unix Tiny SHell e l’utilità proxy 3proxy. Il malware si nasconde a livello del sistema operativo e consente di eseguire comandi arbitrari, scaricare e caricare file e stabilire tunnel del traffico di rete.

Le azioni di Velvet Ant evidenziano l’alto grado di rischio associato all’uso di apparecchiature e applicazioni di terze parti su una rete aziendale. Questi dispositivi sono spesso una “scatola nera” perché sono in gran parte nascosti all’utente, rendendoli un potenziale bersaglio per gli aggressori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication