在执行恶意程式之前,骇客先复制curl执行档并重新命名为ufdm,然后透过LD_PRELOAD环境变数用于载入ufdm.so,并将相关程式码注入特定处理程序,这么做的目的,其实是要将恶意程式的执行,伪装成思科交换器的处理程序。
接著,这些骇客下达ps及netstat命令,检查正在运作的处理程序及网路连线,借此控制恶意软体执行的流程。最后骇客在作案完成后,删除了ufdm及ufdm.so,企图抹除作案痕迹。
对于这项零时差漏洞攻击的发现,研究人员指出,他们长期观察Velvet Ant的活动,这些骇客先是针对一般Windows工作站电脑及伺服器下手,后来锁定执行旧版作业系统的设备,使得受害组织难以察觉他们的踪迹。接著,这些骇客进一步利用F5负载平衡设备维持活动,如今则是将思科交换器设备当作活动据点。这一连串的变化,突显骇客组织的手法出现转变,偏好从网路设备寻求未知漏洞,从而占据设备做为进出受害组织的主要管道。