详细内容或原文请订阅后点击阅览
天鹅绒蚂蚁:中国黑客在别人网络里生活了3年
旧版 F5 BIG-IP 设备帮助网络吸血鬼秘密窃取公司数据。
来源:安全实验室新闻频道旧版 F5 BIG-IP 设备帮助网络吸血鬼秘密窃取公司数据。
东亚某组织的网络中记录到了持续约三年的网络攻击。据信它得到了一个中国网络间谍组织的支持,该组织使用旧版 F5 BIG-IP 设备创建内部 C2 中心并绕过安全机制。
C22023 年末,网络安全公司 Sygnia 发现并调查了此次入侵,并于 6 月 17 日发布了调查结果。 专家们以 Velvet Ant 名义监控该组织的活动,并指出黑客具有快速调整策略以应对反制措施的高能力。
西格尼亚 我 6 月 17 日的工作成果。“Velvet Ant 是一种复杂且创新的网络威胁,”Sygnia 专家在技术报告中指出。 “黑客长期以来一直在收集敏感信息,重点关注客户数据和财务信息。”
这次攻击涉及使用著名的 PlugX 木马,也称为 Korplug,该木马被与中国有联系的间谍组织广泛使用。 PlugX使用DLL加载技术来渗透设备。
PlugXSygnia 还发现黑客在安装 PlugX 之前尝试禁用端点安全软件。使用 Impacket 等开放工具来导航网络。
事件期间,发现了 PlugX 的修改版本,该版本使用内部文件服务器进行 C2 操作,允许恶意流量伪装成合法网络活动。
“攻击者在网络上部署了两个版本的 PlugX,”该公司表示。 “第一个版本配置了外部 C2 服务器,安装在可直接访问互联网的端点上,以传输敏感信息。第二个版本没有 C2 设置,专门用于旧服务器。”
SSH 近期分析