l’APT cinese Velvet Ant ha spiato un’azienda per tre anni

da Livio Varriale
0 commenti 2 minuti leggi

Nel tardo 2023, una grande organizzazione è stata vittima di un grave attacco cibernetico. L’indagine forense condotta da Sygnia ha rivelato un attore di minaccia sofisticato, che ha mantenuto una presenza prolungata nella rete on-premises dell’organizzazione per circa tre anni. Questo attacco, attribuito a un attore di minaccia sponsorizzato dallo stato cinese noto come Velvet Ant, ha utilizzato tecniche avanzate per infiltrarsi e mantenere l’accesso alla rete della vittima per scopi di spionaggio.

Persistenza e tecniche di infiltrazione

image 151
l'APT cinese Velvet Ant ha spiato un'azienda per tre anni 9

Velvet Ant ha stabilito e mantenuto molteplici punti di accesso all’interno dell’ambiente della vittima, utilizzando un dispositivo F5 BIG-IP legacy come comando e controllo interno (C&C). Quando un punto di accesso veniva scoperto e rimediato, l’attore della minaccia passava rapidamente a un altro, dimostrando agilità e adattabilità nell’evitare il rilevamento. L’attore ha sfruttato vari punti di ingresso attraverso l’infrastruttura di rete della vittima, mostrando una comprensione approfondita dell’ambiente target.

Utilizzo di PlugX

image 152
l'APT cinese Velvet Ant ha spiato un'azienda per tre anni 10

Una delle tecniche di attacco di Velvet Ant includeva l’uso di PlugX, un trojan di accesso remoto ampiamente utilizzato da gruppi sponsorizzati dallo stato cinese. PlugX è stato utilizzato per ottenere accesso remoto ai sistemi infetti, con una catena di esecuzione che coinvolgeva il caricamento di DLL malevoli e l’iniezione di codice nei processi di sistema.

image 152
l'APT cinese Velvet Ant ha spiato un'azienda per tre anni 11

Sygnia ha identificato e rimosso con successo PlugX e altri malware dalla rete della vittima, implementando misure di sicurezza avanzate per prevenire ulteriori infezioni.

Difendersi da Velvet Ant

Per proteggersi da attacchi simili, Sygnia consiglia di adottare una strategia di difesa olistica che includa monitoraggio continuo, risposte proattive alle minacce, controlli rigorosi del traffico e pratiche di rafforzamento del sistema. Questo approccio aiuta le organizzazioni a rilevare, dissuadere e contrastare le minacce persistenti presentate da gruppi sponsorizzati dallo stato.

L’attacco di Velvet Ant evidenzia la necessità di strategie di difesa resilienti contro le minacce sofisticate, in particolare quelle poste dai gruppi sponsorizzati dallo stato. Adottando un approccio olistico alla sicurezza, le organizzazioni possono migliorare la loro capacità di rilevare e contrastare le minacce avanzate, proteggendo le loro reti e dati sensibili da attacchi persistenti.

Annunci

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara