Kinesiske hackere dækker deres spor og fjerner malware et par dage før afsløring
FireEye-specialister henledte opmærksomheden til den mærkelige opførsel af kinesiske hackere, hvem, i et forsøg på at dække deres spor, fjern malware kort før afsløring.
Ifølge forskerne, to hackgrupper bruger en nul-dages sårbarhed i Pulse Secure VPN til at angribe netværket af amerikanske forsvarsentreprenører og offentlige organisationer over hele verden.
Ifølge FireEye, hackerne startede helt tilbage i august 2020, når den første hackgruppe, som virksomheden sporer som UNC2630, målrettede amerikanske forsvarsentreprenører og europæiske organisationer. Ifølge analytikere, disse hackere “handle på vegne af den kinesiske regering og kan have forbindelse til APT5,” det er en anden velkendt kinesisk cyberspionagegruppe.
I oktober 2020, en anden gruppe hackere sluttede sig til angrebene (FireEye tildelte det id'et UNC2717), men eksperterne vidste næsten intet om det.
I begge tilfælde, angriberne installerede webskaller på sårbare enheder, og brugte dem derefter til at gå til ofrene’ interne netværk, hvorfra de stjal legitimationsoplysninger, breve og fortrolige dokumenter.
Nu i en ny rapport, FireEye skriver, at yderligere undersøgelse af disse angreb hjalp med at opdage noget underligt: mindst en af de grupper, der var involveret i hændelserne, begyndte at fjerne deres malware fra inficerede netværk tre dage før offentliggørelse.
“Mellem april 17 og 20, 2021, Mandlige specialister observerede, at UNC2630 fik adgang til snesevis af kompromitterede enheder og fjernede webskaller som ATRIUM og SLIGHTPULSE”, - skriver analytikere.
Cyberkriminelers handlinger ser mistænkelige ud og rejser spørgsmål, for eksempel, hvis angriberne kunne vide om interessen fra FireEye. Selvfølgelig, fjernelsen af malware kunne have været en tilfældighed, men hvis UNC2630 deltagere vidste, at FireEye undersøgte nogle af de netværk, de havde kompromitteret, det ser ud til, at hackerne bevidst bakkede og fjernede beviser for at beskytte andre operationer fra forskerne.
FireEye rapporterer også, at de har opdaget nye detaljer om denne hackingkampagne. Så, eksperter fandt yderligere fire stammer af malware (ud over 12 tidligere beskrevet).
- BLODMINE - Pulse Secure Connect logfil analyseværktøj. Henter oplysninger relateret til logins, sende id'er og webanmodninger og kopiere de tilsvarende data til en anden fil.
- BLODBANK - Et stjæleværktøj til legitimationsoplysninger, der parser to filer, der indeholder hash-kodeord eller adgangskoder i en åben test, og forventer, at outputfilen specificeres på kommandolinjen.
- RENGØRING - det er et hukommelsesopdateringsværktøj, der kan bruges til at forhindre, at visse loghændelser opstår. Det blev fundet sammen med ATRIUM web shell.
- HURTIG - En webskal, der er i stand til at læse vilkårlige filer. Ligesom andre webskaller, RAPIDPULSE er en ændring af den legitime Pulse Secure-fil. Kan fungere som en læser til krypterede filer.
Desuden, FireEye arbejder fortsat med udviklerne af Pulse Secure for at identificere kompromitterede enheder og deres ejere. Dette arbejde tillod analytikere at lære mere om angribernes mål. Så, ifølge nye data, de fleste af ofrene er organisationer med base i USA (andre er placeret i europæiske lande). Mens angrebene tidligere blev anset for at have været målrettet mod forsvarsentreprenører og regeringsorganer, det er nu blevet klart, at angriberne også målrettede mod telekommunikation, finans- og transportvirksomheder.
Mens tidligere FireEye-analytikere skrev, at kun UNC2630 kan have forbindelser med den kinesiske regering, nu er de overbeviste om, at begge grupper beskæftiger sig med cyberspionage og “støtte de kinesiske regerings nøgleprioriteter.”
Lad mig minde dig om, at jeg også skrev det XCSSET-malware bruger 0-dages angreb i macOS.
