Китайски хакери прикриват следите си и премахват зловреден софтуер няколко дни преди откриването
Специалисти на FireEye привлече вниманието към странното поведение на китайските хакери, СЗО, в опит да прикрият следите си, премахнете зловреден софтуер малко преди откриването.
Според изследователите, две хакерски групи използват уязвимост от нулев ден в Pulse Secure VPN, за да атакуват мрежите на американски отбранителни изпълнители и правителствени организации по целия свят.
Според FireEye, хаковете започнаха още през август 2020, когато първата хак група, които компанията проследява като UNC2630, насочени към американски отбранителни изпълнители и европейски организации. Според анализаторите, тези хакери “действа от името на китайското правителство и може да има връзки с APT5,” това е друга добре известна китайска група за кибершпионаж.
През октомври 2020, втора група хакери се присъедини към атаките (FireEye му присвои ID UNC2717), но експертите не знаеха практически нищо за това.
И в двата случая, нападателите са инсталирали уеб черупки на уязвими устройства, и след това ги използва, за да отиде при жертвите’ вътрешни мрежи, откъдето са откраднали акредитивите, писма и поверителни документи.
Сега в a нов отчет, FireEye пише, че по-нататъшното разследване на тези атаки е помогнало да се открие нещо странно: най-малко една от групите, участващи в инцидентите, започна да премахва зловреден софтуер от заразените мрежи три дни преди разкриването.
“Между април 17 и 20, 2021, Специалисти от Mandiant отбелязаха, че UNC2630 е получил достъп до десетки компрометирани устройства и е премахнал уеб черупки като ATRIUM и SLIGHTPULSE”, – пишат анализатори.
Действията на киберпрестъпниците изглеждат подозрителни и будят въпроси, например, ако нападателите можеха да знаят за интереса от FireEye. Разбира се, премахването на зловреден софтуер може да е съвпадение, но ако участниците в UNC2630 знаеха, че FireEye разследва някои от мрежите, които са компрометирали, изглежда, че хакерите умишлено са отстъпили и са премахнали доказателства, за да защитят други операции от изследователите.
FireEye също съобщава, че е открила нови подробности за тази хакерска кампания. Така, експерти откриха четири допълнителни щама зловреден софтуер (в допълнение към 12 описано по-рано).
- КРЪВНА МИНА — Помощна програма за анализ на регистрационни файлове на Pulse Secure Connect. Извлича информация, свързана с влизания, публикува идентификатори и уеб заявки и копира съответните данни в друг файл.
- КРЪВНА БАНКА — Помощна програма за кражба на идентификационни данни, която анализира два файла, съдържащи хешове на пароли или пароли в отворен тест и очаква изходният файл да бъде указан в командния ред.
- CLEANPULSE — това е помощна програма за корекция на паметта, която може да се използва за предотвратяване на възникването на определени събития в журнала. Намерен е заедно с уеб обвивката ATRIUM.
- БЪРЗ ИМПУЛС — Уеб обвивка, способна да чете произволни файлове. Подобно на други уеб черупки, RAPIDPULSE е модификация на легитимния Pulse Secure файл. Може да служи като товарач за криптирани файлове.
В допълнение, FireEye продължава да работи с разработчиците на Pulse Secure за идентифициране на компрометирани устройства и техните собственици. Тази работа позволи на анализаторите да научат повече за целите на нападателите. Така, по нови данни, повечето от жертвите са организации, базирани в Съединените щати (други се намират в европейски страни). Докато преди това се смяташе, че атаките са насочени към изпълнители на отбраната и правителствени агенции, вече стана ясно, че нападателите са се насочили и към телекомуникациите, финансови и транспортни компании.
Докато по-рано анализаторите на FireEye писаха, че само UNC2630 може да има връзки с китайското правителство, сега те са уверени, че и двете групи се занимават с кибер шпионаж и “подкрепа на ключовите приоритети на китайското правителство.”
Позволете ми да ви напомня, че също съм го написал Зловреден софтуер XCSSET използва 0-дневни атаки в macOS.
