Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedOlay müdahale firması Sygnia tarafından bu hafta yayınlanan bir adli tıp araştırmasına göre, Çin bağlantılı bir casusluk grubu, kullanıcı girişlerini yöneten yazılımı yeniden yazarak tespit edilmekten kaçındı ve neredeyse on yıl boyunca bir kuruluşun en hassas ağında sessizce barındı.intelfusions
Sygnia'nın Operation Highland olarak adlandırdığı saldırı, firmanın Velvet Ant olarak takip ettiği bir tehdit aktörüne atfediliyor. En eski adli izler 2016 yılına kadar uzanıyor, bu da grubun keşfedilmeden önce neredeyse on yıl boyunca erişimi koruduğu anlamına geliyor.intelfusions
Savunucuların bulup kaldırabileceği tek bir implant yerine, Velvet Ant, parolaları kontrol eden Linux Takılabilir Kimlik Doğrulama Modülü olan pam_unix.so'yu ve birden fazla ana bilgisayardaki birkaç OpenSSH ikili dosyasını arka kapılı sürümlerle değiştirdi. Bu, saldırganlara herhangi bir kullanıcı olarak giriş yapmak için gizli bir baypas ve yöneticiler yazarken meşru kimlik bilgilerini yakalayan yerleşik bir keylogger sağladı.intelfusions
Sygnia, her biri ayrı bir derleme ortamında derlenmiş dokuz farklı kötü amaçlı PAM modülü varyantı tanımladı, bu da iyi kaynaklara sahip ve kasıtlı bir operasyona işaret ediyor. Kurcalanmış SSH ikili dosyaları, kendi kimlik bilgisi günlüklerini bastırmak için özel bir bayrak taşıyordu ve operatörlerin canlı etkinlik sırasında adli izlerini yönetmelerine olanak tanıyordu.intelfusions
Hedeflenen kritik ağın doğrudan internet bağlantısı yoktu. Velvet Ant buraya çok aşamalı bir yanal yolla ulaştı: önce internete açık sunucuları ele geçirdi, ardından sistem yardımcı programlarıyla karışmak için "auditdb" olarak yeniden adlandırılan ve /usr/sbin/ içine bırakılan değiştirilmiş bir GS-Netcat sürümünü kullanarak kurumsal BT ağı üzerinden tünel açtı.intelfusions
Saldırganlar uzaktan erişimi ve sistem yönetimini yöneten bileşenleri kontrol ettiğinden, standart çevreleme adımları etkisiz kaldı. Arka kapılar parola değişikliklerinden ve oturum sonlandırmalarından sağ kurtuldu. Sygnia, canlı sistemlerdeki tehlikeye atılmış ikili dosyaların yanlış değiştirilmesinin yöneticileri tamamen dışarıda bırakabileceğini ve kimlik bilgilerinin yeniden çalınmasını önlemek için parolaları sıfırlamadan önce arka kapıların kaldırılması gerektiğini vurguluyor.sygnia+1
Firma, PAM modüllerinin ve OpenSSH ikili dosyalarının beklenmedik değişiklikler için izlenmesini, girişle ilgili dosyaların bilinen iyi temellerle doğrulanmasını ve yetkisiz authorized_keys girişlerinin aranmasını öneriyor.intelfusions
Bu, Sygnia'nın Velvet Ant'ın kalıcılık odaklı zanaatkarlığını ilk kez belgeleyişi değil. Firma daha önce grubu, F5 BIG-IP cihazlarının kötüye kullanılması ve Cisco NX-OS'teki bir sıfırıncı gün açığı olan CVE-2024-20399'un Nexus anahtarlarına arka kapılar yerleştirmek için kullanılmasıyla ilişkilendirmişti. Tutarlı desen: tespit edildiklerinde, Velvet Ant daha az izlenen altyapıya yöneliyor ve yeniden inşa ediliyor.sygnia+1
Bu açıklama, Çin'in kritik altyapılara yönelik siber operasyonlarına ilişkin daha geniş bir uyarı dalgasının ortasında geldi. CrowdStrike bu hafta, Çin bağlantılı düşmanların Nisan 2025 ile Mart 2026 arasında teknoloji kuruluşlarına yönelik devlet destekli saldırıların %58'inden fazlasını gerçekleştirdiğini bildirdi.techinformed+1