Eine Gruppe vermuteter chinesischer Cyber-Spionageakteure, bekannt als ‚Velvet Ant‘, nutzt maßgeschneiderte Malware auf F5 BIG-IP-Appliances, um eine dauerhafte Verbindung zu internen Netzwerken zu etablieren und Daten zu stehlen.

Laut einem Bericht von Sygnia, die die Eindringlinge nach einem Cyberangriff entdeckten, etablierte Velvet Ant mehrere Eintrittspunkte im gesamten Netzwerk, einschließlich eines veralteten F5 BIG-IP-Gerätes, das als interner Command-and-Control-Server (C2) diente.

Die Bedrohungsakteure konnten mithilfe der kompromittierten F5 BIG-IP-Geräte über drei Jahre hinweg unbemerkt sensible Kunden- und Finanzinformationen entwenden.

Einsatz von F5 BIG-IP-Malware in Angriffen 

Der von Sygnia beobachtete Angriff begann mit der Kompromittierung zweier veralteter F5 BIG-IP-Appliances, die das Opferunternehmen für Firewall, WAF, Lastausgleich und lokales Verkehrsmanagement nutzte.

Beide Geräte waren online zugänglich und liefen auf anfälligen Betriebssystemversionen. Laut Sygnia wurden beide Geräte über bekannte Remote-Code-Ausführungslücken kompromittiert, um benutzerdefinierte Malware auf den Netzwerkgeräten zu installieren.

Anschließend nutzten die Angreifer diesen Zugriff, um auf interne Dateiserver zuzugreifen, wo sie PlugX, einen modularen Remote Access Trojaner (RAT), installierten, der von verschiedenen chinesischen Hackern seit über einem Jahrzehnt zur Datensammlung und -exfiltration verwendet wird.

Weitere auf dem F5 BIG-IP-Gerät eingesetzte Malware umfasst:

  • PMCD: Verbindet sich stündlich mit dem C&C-Server, führt Befehle über ‚csh‘ aus und erhält Fernsteuerung.
  • MCDP: Erfasst Netzwerkpakete, wird mit dem Argument ‚mgmt‘ NIC ausgeführt und gewährleistet anhaltende Netzwerküberwachung.
  • SAMRID (EarthWorm): Ein Open-Source-SOCKS-Proxy-Tunnel, der für das Erstellen sicherer Tunnel verwendet wird, zuvor von verschiedenen chinesischen staatlich unterstützten Gruppen genutzt.
  • ESRDE: Ähnlich wie PMCD, verwendet ‚bash‘ zur Befehlsausführung, ermöglicht Fernbefehlskontrolle und Persistenz.

Verteidigungsempfehlungen 

Um sich gegen ausgeklügelte und hartnäckige Bedrohungsgruppen wie Velvet Ant zu wehren, ist ein mehrschichtiger und ganzheitlicher Sicherheitsansatz erforderlich.

Sygnia empfiehlt folgende Maßnahmen zur Erkennung von Angriffen wie diesen:

  • Beschränkung ausgehender Verbindungen zur Minimierung von C&C-Kommunikationen.
  • Implementierung strikter Kontrollen über Management-Ports und Verbesserung der Netzwerksegmentierung.
  • Priorisierung des Austauschs veralteter Systeme und Verschärfung von Sicherheitskontrollen.
  • Einsatz robuster EDR-Systeme mit Manipulationsschutz und Aktivierung von Sicherheitsmaßnahmen wie Windows Credential Guard.
  • Verbesserung der Sicherheit für Edge-Geräte durch Patchmanagement, Intrusion Detection und Migration zu Cloud-basierten Lösungen.

Da Edge-Netzwerkgeräte üblicherweise keine Sicherheitslösungen unterstützen und für den Internetzugang vorgesehen sind, sind sie beliebte Ziele für Bedrohungsakteure geworden, um einen ersten Zugang zu einem Netzwerk zu erhalten.