Čínští hackeři pokračují v útocích na Target Pulse VPN
Tým FireEye, který sleduje kybernetickou špionážní činnost ve dvou klastrech hrozeb UNC2630 a UNC2717 uvedl, že útoky odpovídají klíčovým prioritám čínské vlády. Spojitost vidí s cíli uvedenými v 14. pětiletce (14th Five Year plan) Čínské vlády.
Tým 20. dubna zveřejnila 12 různých druhů malwaru, včetně STEADYPULSE a LOCKPICK, které byly navrženy s jasným záměrem infikovat zařízení Pulse Secure VPN. Zmíněné typy malwaru nedávno použily kyberneticko-špionážní skupiny s vazbou na čínskou vládu.
Hrozby
- UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE a PULSECHECK
- UNC2717 – HARDPULSE, QUIETPULSE A PULSEJUMP
Během vyšetřování útoků byly odhaleny další čtyři druhy malware nasazené v UNC2630 – BLOODMINE, BLOODBANK, CLEANPULSE a RAPIDPULSE. Jejich účelem je získávání pověření a citlivých systémových dat umožňující libovolné spuštění souboru a odstranění forenzních důkazů.
Zdrojem je zranitelnost CVE-2021-22893, nedávno opravená chyba zabezpečení v zařízeních Pulse Secure VPN. Útočníkům se podařilo získat přihlašovací údaje a zvýšit oprávnění, než získali trvalé připojení a přístupu k citlivým datům.
„Jak UNC2630, tak UNC2717 jsou důkazem pokročilých technik a velmi působivě se vyhýbají detekci. Aktéři upravují časové značky souborů a pravidelně upravují nebo mažou forenzní důkazy (protokoly, dumpy webového serveru a soubory připravené k exfiltraci).“ uvedl tým Fire Eye.
„Rovněž je vidět, že útočníci velmi dobře rozumí síťovým zařízením a prokazují pokročilou znalost cílové sítě. Obráncům sítě tak velmi úspěšné brání ve vytvoření úplného seznamu použitých nástrojů a odcizených pověření. Není znám ani počáteční vektor útoku a přený čas jeho zahájení.”
Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz
Zdroj: The Hacker News
Foto: Unsplash
0 Comments