Эксперты компании Sygnia сообщили об обнаружении серьёзной активности китайских хакеров, которые эксплуатируют уязвимость нулевого дня в коммутаторах Cisco для получения контроля над целевой системой. Эта киберпреступная операция приписывается известной китайскоязычной хакерской группе Velvet Ant, которая в ходе своих атак в последние месяцы активно использовала уязвимость с идентификатором CVE-2024-20399 для доставки специального вредоносного ПО и получения полного контроля над скомпрометированной системой.
В отчёте компании по кибербезопасности Sygnia сказано, что эксплойт нулевого дня позволяет злоумышленникам с действительными учётными данными администратора консоли управления Switch выйти из интерфейса командной строки (CLI) NX-OS и выполнить произвольные команды в базовой операционной системе Linux.
Также уточняется, что хакерская группировка Velvet Ant впервые привлекла внимание исследователей израильской компании по кибербезопасности в связи с многолетней киберпреступной кампанией, нацеленной на неназванную организацию, расположенную в Восточной Азии, с использованием устаревших устройств F5 BIG-IP в качестве точки доступа для настройки устойчивости в скомпрометированной среде.
Скрытая эксплуатация злоумышленниками уязвимости CVE-2024-20399 стала известна в начале июля 2024 года, что побудило компанию Cisco выпустить срочные обновления безопасности для устранения уязвимости.
Среди методов кибератак со стороны китайской группы эксперты по кибербезопасности отмечают высокий уровень сложности и тактику изменения формы, применяемую злоумышленниками: изначально они проникали в новые системы Windows, а затем переключались на устаревшие серверы Windows и сетевые устройства, пытаясь остаться незамеченными.
Последняя выявленная цепочка атак со стороны Velvet Ant предполагает взлом коммутатора Cisco с использованием CVE-2024-20399, проведение разведывательных мероприятий, последующее переключение на другие сетевые устройства и, в конечном итоге, выполнение двоичного бэкдора с помощью вредоносного скрипта.
Оригинал публикации на сайте CISOCLUB: "Китайские хакеры атакуют пользователей через уязвимость нулевого дня в коммутаторах Cisco".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
