Un groupe de cyberespionnage chinois a été observé en train de déployer un logiciel malveillant personnalisé après avoir jailbreaké un commutateur Cisco à l’aide d’un exploit zero-day récemment découvert.
En enquêtant sur les techniques d’attaque de Velvet Ant, un groupe de menaces persistantes avancées (APT) qui serait sponsorisé par la Chine, la société de cybersécurité Sygnia a découvert en juillet 2024 que le groupe avait exploité une vulnérabilité d’injection de commande zero-day dans le système d’exploitation NX de Cisco (CVE-2024-20399).
NX-OS est un système d’exploitation réseau conçu spécifiquement pour les commutateurs de la série Nexus de Cisco.
Dans un nouveau rapport du 22 août, Sygnia révèle que l’acteur de la menace a utilisé l’exploit zero-day pour déployer des logiciels malveillants personnalisés.
Exploiter une faille zero-day pour déployer des logiciels malveillants
L’exploit zero-day permet à un attaquant disposant d’informations d’identification d’administrateur valides sur la console de gestion du commutateur d’échapper à l’interface de ligne de commande (CLI) NX-OS et d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent Linux.
L’exploitation de cette vulnérabilité a permis à Velvet Ant de compromettre et de contrôler les commutateurs Cisco sur site et de les utiliser comme pivot principal pour accéder à des périphériques réseau supplémentaires, permettant une identification claire des activités supplémentaires provenant d’emplacements compromis connus.
Suite à l’exploitation, Velvet Ant a déployé un logiciel malveillant personnalisé, qui s’exécute sur le système d’exploitation sous-jacent et est invisible pour les outils de sécurité courants.
Le malware, ce Sygnia appelé VelvetShellest une version hybride personnalisée de deux outils open source : TinyShell, une porte dérobée Unix et un outil proxy nommé 3proxy.
Grâce à cette tactique d’évasion croissante, le groupe APT peut maintenir la persistance du réseau à long terme, ce qui est essentiel lors du déploiement d’une campagne de cyberespionnage.
Cisco a publié un correctif pour cette vulnérabilité le 1er juillet 2024.
Quelques jours plus tard, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) je l’ai ajouté à son catalogue de vulnérabilités connues exploitées (KEV).
Campagnes d’intrusion pluriannuelles de Velvet Ant
Cet exploit zero-day faisait partie d’une campagne d’intrusion pluriannuelle détectée par Sygnia en 2023.
La campagne comprenait l’exploitation de plusieurs points d’appui dans les réseaux des organisations ciblées.
Cette approche sophistiquée indique une compréhension globale de l’environnement de la cible, a noté Sygnia dans l’analyse de la campagne.
« Au fil des années d’activités d’espionnage, Velvet Ant a accru sa sophistication, utilisant des tactiques évolutives pour poursuivre ses cyberopérations dans un réseau de victimes – en opérant sur des points de terminaison ordinaires, en déplaçant les opérations vers des serveurs hérités et enfin en passant aux appareils réseau et en utilisant les zero-days », a commenté l’entreprise.
« La détermination, l’adaptabilité et la persistance de ces acteurs de la menace soulignent la sensibilité d’un plan de réponse holistique non seulement pour contenir et atténuer la menace, mais également pour surveiller le réseau pour détecter d’autres tentatives d’exploitation du réseau », ont conclu les chercheurs de Sygnia.
Crédit photo : pchow98/Flickr
2024-08-26 11:00:00
1724661346
#fourmi #chinoise #Velvet #Ant #utilise #Cisco #ZeroDay #pour #déployer #des #logiciels #malveillants #personnalisés