ظهرت تفاصيل حول مجموعة تهديد صينية تعرف باسم Velvet Ant قامت باستغلال ثغرة أمنية تم الكشف عنها مؤخرًا وتم تصحيحها الآن في أجهزة Cisco Switch كـ “يوم الصفر” للسيطرة على الأجهزة وتجنب الكشف.
تم رصد النشاط، الذي نُسب إلى Velvet Ant، في بداية هذا العام وشمل تسليح الثغرة CVE-2024-20399 (بدرجة CVSS: 6.0) لتسليم برمجيات خبيثة مخصصة والحصول على تحكم واسع في النظام المخترق، مما يسهل عمليات تسريب البيانات والوصول المستمر.
وقالت شركة الأمن السيبراني Sygnia في تقرير شاركته مع موقع The Hacker News: “تسمح استغلال ثغرة يوم الصفر للمهاجم الذي يمتلك بيانات اعتماد صحيحة لمسؤول النظام إلى وحدة التحكم في إدارة Switch بالخروج من واجهة سطر الأوامر (CLI) وتنفيذ أوامر عشوائية على نظام التشغيل Linux الأساسي”.
تم لفت الانتباه إلى Velvet Ant لأول مرة من قبل باحثين في شركة الأمن السيبراني الإسرائيلية في سياق حملة استمرت لعدة سنوات استهدفت منظمة غير معروفة في شرق آسيا باستخدام أجهزة F5 BIG-IP القديمة كنقطة انطلاق لإعداد الاستمرارية في البيئة المخترقة.
ظهرت استغلال Velvet Ant الخفي للثغرة CVE-2024-20399 في وقت مبكر من الشهر الماضي، مما دفع Cisco لإصدار تحديثات أمنية لإصلاح الثغرة.
ما يميز هذه الهجمات هو مستوى التعقيد والتكتيكات المتغيرة التي تبنتها المجموعة، حيث بدأت بالاختراق الأولي للأنظمة الجديدة التي تعمل بنظام Windows ثم انتقلت إلى الخوادم القديمة وأجهزة الشبكة في محاولة للبقاء بعيدًا عن الرادار.
وأضافت Sygnia: “الانتقال إلى العمل من أجهزة الشبكة الداخلية يمثل تصعيدًا جديدًا في تقنيات التهرب المستخدمة لضمان استمرار حملة التجسس”.
تشمل سلسلة الهجمات الأخيرة اختراق جهاز Cisco Switch باستخدام الثغرة CVE-2024-20399 وإجراء أنشطة استطلاعية، ثم الانتقال إلى المزيد من أجهزة الشبكة وتنفيذ برنامج خلفي باستخدام سكريبت ضار.
الحمل الخبيث، الذي يُطلق عليه اسم VELVETSHELL، هو مزيج من أداتين مفتوحي المصدر، هما برنامج خلفي لنظام Unix يسمى Tiny SHell وأداة وكيل تُسمى 3proxy. كما يدعم قدرات لتنفيذ أوامر عشوائية، وتحميل/تنزيل الملفات، وإنشاء قنوات لتحويل حركة المرور الشبكية.
وقالت الشركة: “يسلط النهج العملياتي لـ ‘Velvet Ant’ الضوء على المخاطر والتساؤلات المتعلقة بالأجهزة والتطبيقات التابعة لجهات خارجية التي تعتمدها المنظمات. بسبب طبيعة ‘الصندوق الأسود’ للعديد من الأجهزة، فإن كل قطعة من العتاد أو البرمجيات لديها القدرة على التحول إلى سطح هجوم يمكن للمهاجم استغلاله”.
