上個月思科公佈網路設備作業系統NX-OS的零時差漏洞CVE-2024-20399，此為命令列介面（CLI）的命令注入漏洞，攻擊者可在通過身分驗證的情況下，在本機以root的權限，於目標裝置的底層作業系統執行任意命令，早在4月，就接到其他廠商通報出現漏洞濫用攻擊，最近這家資安公司的研究人員公佈利用漏洞的攻擊行動細節，並指出駭客得逞後，會在交換器部署後門程式VelvetShell。

Sygnia是在今年初看到這些駭客利用漏洞破壞、控制思科交換器設備，而能在受害企業以近乎隱形的方式從事活動。由於這項漏洞能讓可存取主控臺的管理者逃脫NX-OS的命令列介面（CLI），並在底層的Linux作業系統執行命令，這些駭客一旦成功利用漏洞，就會部署名為VelvetShell的惡意軟體，駭客以公開的後門程式Tiny Shell及代理伺服器程式3Proxy打造而成，具備執行命令的功能，並讓駭客能上傳或下載檔案，還能透過代理伺服器機制建立網路隧道，進而隱匿攻擊行動。

在執行惡意程式之前，駭客先複製curl執行檔並重新命名為ufdm，然後透過LD_PRELOAD環境變數用於載入ufdm.so，並將相關程式碼注入特定處理程式，這麼做的目的，其實是要將惡意程式的執行，偽裝成思科交換器的處理程式。

接著，這些駭客下達ps及netstat命令，檢查正在運作的處理程式及網路連線，藉此控制惡意軟體執行的流程。最後駭客在作案完成後，刪除了ufdm及ufdm.so，企圖抹除作案痕跡。

對於這項零時差漏洞攻擊的發現，研究人員指出，他們長期觀察Velvet Ant的活動，這些駭客先是針對一般Windows工作站電腦及伺服器下手，後來鎖定執行舊版作業系統的設備，使得受害組織難以察覺他們的蹤跡。接著，這些駭客進一步利用F5負載平衡設備維持活動，如今則是將思科交換器設備當作活動據點。這一連串的變化，突顯駭客組織的手法出現轉變，偏好從網路設備尋求未知漏洞，從而佔據設備做為進出受害組織的主要管道。