СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
23.08.2024
#ИБ#Инфра

Китайские хакеры атакуют пользователей через уязвимость нулевого дня в коммутаторах Cisco

Китайские хакеры атакуют пользователей через уязвимость нулевого дня в коммутаторах Cisco

Изображение: Zozz_ (pixabay)

Эксперты компании Sygnia сообщили об обнаружении серьёзной активности китайских хакеров, которые эксплуатируют уязвимость нулевого дня в коммутаторах Cisco для получения контроля над целевой системой. Эта киберпреступная операция приписывается известной китайскоязычной хакерской группе Velvet Ant, которая в ходе своих атак в последние месяцы активно использовала уязвимость с идентификатором CVE-2024-20399 для доставки специального вредоносного ПО и получения полного контроля над скомпрометированной системой.

В отчёте компании по кибербезопасности Sygnia сказано, что эксплойт нулевого дня позволяет злоумышленникам с действительными учётными данными администратора консоли управления Switch выйти из интерфейса командной строки (CLI) NX-OS и выполнить произвольные команды в базовой операционной системе Linux.

Также уточняется, что хакерская группировка Velvet Ant впервые привлекла внимание исследователей израильской компании по кибербезопасности в связи с многолетней киберпреступной кампанией, нацеленной на неназванную организацию, расположенную в Восточной Азии, с использованием устаревших устройств F5 BIG-IP в качестве точки доступа для настройки устойчивости в скомпрометированной среде.

Скрытая эксплуатация злоумышленниками уязвимости CVE-2024-20399 стала известна в начале июля 2024 года, что побудило компанию Cisco выпустить срочные обновления безопасности для устранения уязвимости.

Среди методов кибератак со стороны китайской группы эксперты по кибербезопасности отмечают высокий уровень сложности и тактику изменения формы, применяемую злоумышленниками: изначально они проникали в новые системы Windows, а затем переключались на устаревшие серверы Windows и сетевые устройства, пытаясь остаться незамеченными.

Последняя выявленная цепочка атак со стороны Velvet Ant предполагает взлом коммутатора Cisco с использованием CVE-2024-20399, проведение разведывательных мероприятий, последующее переключение на другие сетевые устройства и, в конечном итоге, выполнение двоичного бэкдора с помощью вредоносного скрипта.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: