一名被称为 Velvet Ant 的中国国家支持的威胁行为者,近期被观察到在大型组织的网络中进行间谍活动。该团伙通过利用两台过时且脆弱的 F5 BigIP 设备,在网络中保持了长达三年的持久渗透。
在6月17日的博客文章中,Sygnia 的研究人员解释称,F5 BigIP 负载均衡器设备在网络中占据可信的位置,通常设置在边界或不同网络段之间。研究人员指出,攻击者如能成功攻破此类设备,便可以在不引起怀疑的情况下,对网络流量施加重大控制。
海鸥加速器正版官网最新版研究人员表示,Velvet Ant 使用的工具和技术通常与中国国家支持的威胁行为者相关,例如,这些攻击目标明确,聚焦于网络设备,利用系统漏洞,且使用的工具包括ShadowPad和PlugX木马族,以及 DLL 侧加载技术。
根据研究人员的说法,Velvet Ant 非常狡猾和滑溜,使其能够访问敏感数据。“在发现并修复一个入侵点后,威胁行为者迅速转向另一个入侵点,展示了其逃避检测的灵活性和适应性。该行为者还利用了受害者网络基础设施中的多种入侵点,显示出对目标环境的全面理解。”
Sectigo 的产品高级副总裁 Jason Soroko 表示,组织网络中的遗留设备显然成为了重大的网络安全风险。他指出,这些过时系统缺乏现代身份验证能力,且团队往往无法修补其脆弱性,使其成为网络攻击的首选目标。
“Soroko 提到,‘遗留系统通常依赖于简单的密码通过收集到的凭证获取,正如 Velvet Ant 攻击中所见。尽管有努力消除这些威胁,但遗留设备仍为攻击者提供了持续的重新入侵点。’管理遗留系统带来的风险与升级所需的投资之间的平衡至关重要。这类决策需要高层管理,懂得风险所在的高管进行统筹考虑。”
根据 Critical Start 的威胁研究高级经理 Callie Guenther 的解释,中国的先进持续威胁APT有着维持长时间访问目标网络的可记录历史。Guenther 指出,Velvet Ant 的技术和战术与已知的中国威胁组的行为非常相似,通常表现出持久性、适应性和长期战略目标。
Guenther 还补充道,“像 F5 BIGIP 设备这样的遗留系统作为入侵和持久化的切入点并不罕见。这些团体频繁利用过时和未打补丁的硬件和软件,充分意识到许多组织由于多种约束条件而难以保持系统的最新状态。”
她进一步指出,Velvet Ant 使用多种持久化机制,如 DLL 搜索顺序劫持、DLL 侧加载以及幽灵 DLL 加载,同时篡改安全软件,显示出其操作安全的高级水平。这一团体快速适应和切换不同方法以维持其立足点的能力,标志着其与高级威胁组织的特征密切相关,这些组织不断完善其技术以逃避检测。
