มีการเปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวจีน ที่ได้โจมตีช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผย และได้รับการแก้ไขไปแล้วในสวิตช์ของ Cisco โดยการใช้ช่องโหว่ zero-day เพื่อเข้าควบคุมอุปกรณ์ และหลบเลี่ยงการตรวจจับ
การกระทำดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่ม Velvet Ant โดยถูกพบเมื่อต้นปีที่ผ่านมา และเกี่ยวข้องกับการโจมตีจากช่องโหว่ CVE-2024-20399 (คะแนน CVSS: 6.0) ในการติดตั้งมัลแวร์ที่ออกแบบมาโดยเฉพาะ และยังสามารถเข้าควบคุมระบบที่ถูกโจมตีได้ ทำให้ผู้โจมตีสามารถขโมยข้อมูล และเข้าถึงระบบได้อย่างต่อเนื่อง
บริษัท Sygnia ระบุในรายงานที่เผยแพร่ให้กับ The Hacker News ว่า "ช่องโหว่จาก zero-day นี้ทำให้ผู้โจมตีมีสิทธิ์เป็นผู้ดูแลระบบของ Switch management console ทำให้สามารถ escape ออกจาก NX-OS Command Line Interface (CLI) และเรียกใช้คำสั่งใด ๆ ก็ตามบนระบบปฏิบัติการ Linux ที่อยู่เบื้องหลังได้"
Velvet Ant ได้รับความสนใจจากนักวิจัยของบริษัท Israeli cybersecurity จากการเชื่อมโยงกับการโจมตีที่ได้ดำเนินมาอย่างยาวนานหลายปี โดยมีเป้าหมายเป็นองค์กรที่ไม่เปิดเผยชื่อในเอเชียตะวันออก และใช้การโจมตีจากอุปกรณ์ F5 BIG-IP รุ่นเก่าเป็นจุดเริ่มต้น เพื่อสร้างการเข้าถึงอย่างต่อเนื่องในระบบที่ถูกโจมตีได้แล้ว
การโจมตีจากช่องโหว่ CVE-2024-20399 อย่างแนบเนียนของกลุ่มแฮ็กเกอร์นี้ ได้ถูกเปิดเผยเมื่อช่วงต้นเดือนที่ผ่านมา ส่งผลให้ Cisco ต้องออกการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว
สิ่งที่น่าสังเกตของเทคนิคการโจมตีนี้ คือระดับความซับซ้อน และกลยุทธ์ในการปรับเปลี่ยนรูปแบบที่กลุ่มแฮ็กเกอร์นี้นำมาใช้ โดยเริ่มต้นจากการแทรกซึมเข้าสู่ระบบ Windows รุ่นใหม่ จากนั้นจะโจมตีต่อไปยังเซิร์ฟเวอร์ Windows รุ่นเก่า และอุปกรณ์เครือข่าย เพื่อพยายามที่จะหลบเลี่ยงการตรวจจับ
Sygnia ระบุว่า "การเปลี่ยนไปดำเนินการจากอุปกรณ์เครือข่ายภายในถือเป็นการยกระดับเทคนิคการหลบเลี่ยงอีกครั้ง เพื่อให้แน่ใจว่าการโจมตีดังกล่าวจะดำเนินต่อไปได้"
การโจมตีครั้งล่าสุดเกี่ยวข้องกับการเจาะระบบบนอุปกรณ์ Cisco Switch โดยใช้ช่องโหว่ CVE-2024-20399 เพื่อดำเนินการสอดแนม จากนั้นจึงเปลี่ยนการโจมตีไปยังอุปกรณ์เครือข่ายอื่น ๆ และในที่สุดก็จะทำการเรียกใช้ไบนารี backdoor ผ่านสคริปต์ที่เป็นอันตราย
Payload ที่เรียกว่า VELVETSHELL นั้นเป็นการผสมผสานระหว่างเครื่องมือโอเพนซอร์สสองตัว ได้แก่ backdoor บน Unix ที่ชื่อว่า Tiny SHell และโปรแกรมยูทิลิตี้พร็อกซี่ที่เรียกว่า 3proxy นอกจากนี้ยังรองรับความสามารถในการเรียกใช้คำสั่งตามที่ต้องการ เช่น การดาวน์โหลด/อัปโหลดไฟล์ และสร้างช่องทางสำหรับการทำ proxying network traffic
บริษัทระบุว่า "วิธีการดำเนินงานของ 'Velvet Ant' แสดงให้เห็นถึงความเสี่ยงเกี่ยวกับอุปกรณ์ และแอปพลิเคชันของ third-party ที่องค์กรนำมาใช้ และเนื่องจากอุปกรณ์จำนวนมากมีลักษณะเหมือน black box ทำให้อุปกรณ์ฮาร์ดแวร์ หรือซอฟต์แวร์แต่ละชิ้นมีโอกาสกลายเป็นพื้นที่สำหรับการโจมตีที่ผู้โจมตีสามารถใช้จากช่องโหว่ดังกล่าวได้"
ที่มา : thehackernews
You must be logged in to post a comment.