Hacker sử dụng mã độc F5 BIG-IP để âm thầm đánh cắp dữ liệu

Nhóm hacker Velvet Ant, được cho là gián điệp mạng Trung Quốc, đang triển khai mã độc trên các thiết bị F5 BIG-IP để âm thầm đánh cắp dữ liệu trong nhiều năm qua.

Theo báo cáo của Sygnia, cuộc tấn công bắt đầu bằng việc xâm nhập thiết bị F5 BIG-IP lỗi thời mà tổ chức nạn nhân sử dụng cho tường lửa, WAF, cân bằng tải và quản lý lưu lượng cục bộ. Các thiết bị này bị lộ trực tuyến và đang chạy các phiên bản hệ điều hành tồn tại lỗ hổng.

Thông qua khai thác lỗ hổng thực thi mã từ xa đã được công bố, hacker cài đặt mã độc tùy chỉnh trên các thiết bị mạng. Tiếp đến sử dụng quyền truy cập có được để tiếp cận các máy chủ tệp nội bộ, triển khai trojan PlugX để thu thập và lấy cắp dữ liệu.

Các mã độc khác được hacker triển khai trên thiết bị F5 BIG-IP gồm:

  • PMCD: Kết nối với máy chủ C&C mỗi giờ, thực thi các lệnh nhận được từ máy chủ thông qua “csh”, duy trì khả năng điều khiển từ xa.
  • MCDP: Chụp các gói mạng, thực thi với đối số NIC ‘mgmt’, đảm bảo giám sát mạng liên tục.
  • SAMRID (EarthWorm): Tạo đường hầm an toàn.
  • ESRDE: Tương tự như PMCD, sử dụng ‘bash’ để thực thi lệnh, cho phép kiểm soát và duy trì lệnh từ xa.

Theo các chuyên gia, việc chống lại các mối đe dọa tinh vi và dai dẳng như Velvet Ant đòi hỏi một phương pháp bảo mật toàn diện và đa lớp.

Người dùng được khuyến cáo:

  • Hạn chế các kết nối outbound để giảm thiểu thông tin liên lạc C&C.
  • Kiểm soát chặt chẽ các cổng quản lý và tăng cường phân đoạn mạng.
  • Ưu tiên thay thế các hệ thống cũ và thắt chặt kiểm soát an ninh.
  • Triển khai các hệ thống EDR mạnh mẽ với các tính năng chống giả mạo và kích hoạt các biện pháp bảo mật như Windows Credential Guard.

Tăng cường an ninh cho các thiết bị biên thông qua quản lý bản vá, phát hiện xâm nhập và dịch chuyển sang các giải pháp dựa trên đám mây.

Nguồn: Bleeping Computer