Los hackers explotan las "zonas ciegas" del sistema de seguridad para llevar a cabo ataques furtivos.
A principios de 2024, el grupo chino Velvet Ant aprovechó una vulnerabilidad de día cero (Zero-Day) recientemente solucionada en los switches de Cisco para tomar el control de los dispositivos y evadir los sistemas de detección de amenazas.
La vulnerabilidad CVE-2024-20399 (con una puntuación CVSS de 6.7) permitió a los atacantes introducir un malware único y obtener un control extenso sobre el sistema comprometido, facilitando tanto el robo de datos como el mantenimiento del acceso.
Según informes de Sygnia, Velvet Ant utilizó el exploit para ejecutar comandos arbitrarios en Linux, que opera bajo la capa NX-OS. Para llevar a cabo con éxito el ataque, los ciberdelincuentes necesitaban credenciales de administrador válidas para acceder a la consola de administración del switch.
Los especialistas de Sygnia notaron por primera vez al grupo Velvet Ant en el marco de una campaña de varios años dirigida contra una organización en Asia Oriental. Durante esta campaña, Velvet Ant utilizó dispositivos obsoletos F5 BIG-IP para crear un acceso persistente al entorno comprometido.
La detección de la explotación encubierta de la vulnerabilidad CVE-2024-20399 ocurrió a principios de julio, lo que llevó a Cisco a emitir actualizaciones de seguridad para corregir este problema. El grupo Velvet Ant demostró un alto nivel de preparación técnica y la capacidad de adaptar sus métodos, pasando de infectar nuevos sistemas Windows a servidores y dispositivos de red obsoletos, lo que les permite evitar la detección.
Según los especialistas de Sygnia, el cambio hacia el uso de dispositivos de red internos es una nueva táctica para evadir los sistemas de seguridad. La última cadena de ataques incluyó la violación de un switch Cisco utilizando la vulnerabilidad CVE-2024-20399, la realización de operaciones de reconocimiento y la ejecución de un script malicioso, lo que finalmente condujo al lanzamiento de un backdoor.
El malware, denominado VELVETSHELL, es una combinación de dos herramientas de código abierto: el backdoor Unix Tiny SHell y la utilidad proxy 3proxy . El malware se oculta a nivel del sistema operativo y permite ejecutar comandos arbitrarios, cargar y descargar archivos, así como establecer túneles para el tráfico proxy.
Las acciones de "Velvet Ant" destacan el alto nivel de riesgo asociado con el uso de hardware y aplicaciones de terceros en la red corporativa. A menudo, estos dispositivos son una "caja negra" para los usuarios, lo que los convierte en un objetivo potencial para los atacantes.