Un grupo chino de ciberespionaje ha sido observado implementando malware personalizado después de desbloquear un dispositivo de conmutación Cisco utilizando un exploit de día cero descubierto recientemente. Mientras investigaba las técnicas de ataque de Velvet Ant, un grupo de amenazas persistentes avanzadas (APT) que se cree que está patrocinado por China, la empresa de ciberseguridad Sygnia descubrió en julio de 2024 que el grupo había explotado una vulnerabilidad de inyección de comandos de día cero en NX-OS de Cisco (CVE-2024-20399). NX-OS es un sistema operativo de red diseñado específicamente para los conmutadores de la serie Nexus de Cisco. En un nuevo informe del 22 de agosto, Sygnia revela que el actor de amenazas utilizó el exploit de día cero para implementar malware personalizado. Aprovechar un día cero para implementar malware El exploit de día cero permite a un atacante con credenciales de administrador válidas para la consola de administración del conmutador escapar de la interfaz de línea de comandos (CLI) de NX-OS y ejecutar comandos arbitrarios en el sistema operativo Linux subyacente. La explotación de esta vulnerabilidad permitió a Velvet Ant comprometer y controlar los dispositivos de conmutación Cisco locales y utilizarlos como eje principal para acceder a dispositivos de red adicionales, lo que permitió la identificación clara de actividades adicionales originadas en ubicaciones comprometidas conocidas. Después de la explotación, Velvet Ant implementó un malware personalizado, que se ejecuta en el sistema operativo subyacente y es invisible para las herramientas de seguridad comunes. El malware, que Sygnia llamó VelvetShell, es una versión híbrida personalizada de dos herramientas de código abierto: TinyShell, una puerta trasera de Unix y una herramienta proxy llamada 3proxy. Con esta táctica de evasión en aumento, el grupo APT puede mantener la persistencia de la red a largo plazo, lo que es fundamental al implementar una campaña de ciberespionaje. Cisco lanzó una solución para esta vulnerabilidad el 1 de julio de 2024. Unos días después, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) la agregó a su catálogo de vulnerabilidades explotadas conocidas (KEV). Campañas de intrusión de varios años de Velvet Ant Este exploit de día cero fue parte de una campaña de intrusión de varios años detectada por Sygnia en 2023. La campaña incluyó la explotación de varios puntos de apoyo en las redes de las organizaciones objetivo. Este enfoque sofisticado indica una comprensión integral del entorno del objetivo, señaló Sygnia en el análisis de la campaña. “A lo largo de los años de actividades de espionaje, Velvet Ant aumentó su sofisticación, utilizando tácticas en evolución para continuar sus operaciones cibernéticas en una red víctima: desde operar en puntos finales ordinarios, cambiar las operaciones a servidores heredados y finalmente avanzar hacia dispositivos de red y usar días cero”, comentó la firma. “La determinación, adaptabilidad y persistencia de estos actores de amenazas resalta la sensibilidad de un plan de respuesta holístico no solo para contener y mitigar la amenaza, sino también para monitorear la red en busca de intentos adicionales de explotar la red”, concluyeron los investigadores de Sygnia. Crédito de la foto: pchow98/Flickr