中国网络威胁组织“天鹅绒蚂蚁”的攻击行动

关键要点

• 组织简介 ：天鹅绒蚂蚁是与中国有关的网络威胁组织。
• 漏洞披露 ：该组织利用了最近披露的Cisco交换机的零日漏洞。
• 漏洞详情 ：CVE-2024-20399漏洞评分为6.0，允许攻击者绕过NX-OS命令行界面。
• 攻击手段 ：攻击者使用自定义恶意软件进行数据外泄和持续访问。
• 安全建议 ：组织需重视第三方设备和应用程序的安全风险。

根据的报道，一个名为“天鹅绒蚂蚁”的与中国有关的网络威胁组织正在利用Cisco交换机上最近披露的作为零日漏洞来控制系统并逃避检测。

该漏洞被记录为CVE-2024-20399，CVSS评分为6.0，允许拥有有效管理员凭据的攻击者绕过NX- OS命令行界面，在基础的Linux操作系统上执行任意命令。网络安全公司Sygnia表示，它在今年早些时候检测到了这一活动。攻击者使用了定制的恶意软件进行数据外泄并保持持久访问，同时利用了传统的F5BIG- IP设备，从新的Windows系统转移到较旧的服务器和网络设备。他们的战术还包括使用一种称为VELVETSHELL的有效载荷，该载荷结合了一个名为TinySHell的Unix后门和一个称为3proxy的代理工具，这使得命令执行、文件传输和网络流量代理成为可能。Sygnia指出：“该组织的活动突显了第三方设备和应用程序在组织中可能存在的风险和疑虑。”他进一步表示：“由于许多设备的‘黑箱’特性，每一件硬件或软件都可能成为敌方能够利用的攻击面。”

深入分析

安全建议

对抗这种威胁，组织应考虑以下几方面： - 全面审计 ：定期审计所有第三方设备和应用程序的安全性。 - 安全培训 ：提高工作人员关于网络安全的意识，尤其是对于外部设备的使用。 - 更新补丁 ：及时更新软件和硬件的安全补丁，减少被利用的风险。

总之，随着网络攻击手段的发展，加大对第三方设备的监控和保护显得尤为重要。