中国网络间谍组织利用Cisco NXOS漏洞进行恶意软件植入

关键要点

攻击团体 Velvet Ant是一个受到中国国家赞助的网络间谍组织。漏洞利用 攻击者利用Cisco NXOS中的一个命令注入漏洞，该漏洞于7月被修补。安装后门 恶意软件植入被伪装成常见的进程，且在内存中注入，随后从文件系统中删除以避免被检测。漏洞详情 漏洞编号为CVE202420399，需管理员凭证才能利用，评级为中等严重性，但依然被攻击者利用。

根据安全公司Sygnia的研究，受中国国家支持的网络间谍组织Velvet Ant今年早些时候利用Cisco NXOS中的一个零日漏洞，在一个组织的网络交换机上部署了自定义恶意软件植入。

恶意后门通过伪装成已知进程的方法被注入到内存中，并在之后从文件系统中删除，以防止被检测和进行取证分析。

“多年来，Velvet Ant在间谍活动中提高了他们的技术水平，通过不断演变的战术来持续在受害者网络中进行网络行动从普通终端，到将操作转移到遗留服务器，最后转向网络设备并利用零日漏洞，”Sygnia在一份报告中提到。

Sygnia的研究人员首次在对某公司的网络进行调查时发现了被利用的漏洞，并将其报告给了Cisco。该漏洞被跟踪为CVE202420399，Cisco在7月初开始发布针对受影响Nexus交换机系列的修补程序。

攻击者利用中等严重性漏洞

有趣的是，CVE202420399并不是一个未经验证的远程代码执行漏洞，实际上需要管理员凭证才能利用，因此评级仅为中等严重性。

然而，攻击者不仅会针对关键漏洞，而是也会利用他们发现的任何能够带来优势的安全问题。在这个特定案例中，运行在Nexus交换机上的NXOS软件平台故意设计为不让用户直接访问底层的Linux操作系统。相反，包括管理员在内的用户只能通过基于Web的界面应用层与设备交互。

快喵加速器下载官网

CVE202420399漏洞打破了这种隔离，因为它允许拥有管理员凭证的攻击者将命令作为参数注入配置命令，以在底层操作系统上以root权限执行。这是一个使攻击者能够在其已建立立足点的环境中进行横向移动和持久化的缺陷，允许他们从其他已被攻陷的系统中提取凭证。

对威胁行为者而言，攻陷网络设备的优势在于这些设备不提供很多可见性，这意味着在它们上部署的任何恶意代码都将非常隐秘和持久。这些设备上没有运行的防病毒产品，并且在某些情况下，比如Nexus交换机，客户没有访问底层操作系统的权限以运行检测工具。

Velvet Ant组还曾在过去利用遗留的F5 BIGIP设备，因此这种持久化战术无疑是其武器库的一部分。

攻击展示了Velvet Ant战术的复杂性

根据Sygnia在被Velvet Ant攻陷的Cisco Nexus交换机上发现的证据，攻击者首先利用命令注入漏洞创建一个包含base64编码内容的文件。接着，他们发出了命令以解码内容，并将其保存到名为ufdmso的文件中。在Linux系统上，so文件是被其他进程加载的共享对象库，而ufdm是NXOS上一个合法文件的名称。

在创建了恶意库之后，攻击者将合法的ufdm文件替换为curl，这又是一个合法的Linux工具，用于