Chinesische Hacker verwischen ihre Spuren und entfernen Malware einige Tage vor der Entdeckung

Helga SmithJuni 2, 2021Letztes Update Juni 2, 2021
33 2 Minuten gelesen

FireEye-Spezialisten auf sich aufmerksam gemacht zum seltsamen Verhalten chinesischer Hacker, WHO, um ihre Spuren zu verwischen, Malware kurz vor der Erkennung entfernen.

Laut den Forschern, Zwei Hackergruppen nutzen eine Zero-Day-Schwachstelle in Pulse Secure VPN, um die Netzwerke amerikanischer Rüstungsunternehmen und Regierungsorganisationen auf der ganzen Welt anzugreifen.

Laut FireEye, die Hacks begannen bereits im August 2020, wenn die erste Hackgruppe, die das Unternehmen verfolgt als UNC2630, gezielte US-Verteidigungsunternehmen und europäische Organisationen. Laut Analysten, diese Hacker “im Auftrag der chinesischen Regierung handeln und möglicherweise Verbindungen zu APT5 haben,” das ist eine weitere bekannte chinesische Cyberspionagegruppe.

Im Oktober 2020, eine zweite Gruppe von Hackern schloss sich den Angriffen an (FireEye hat ihm die ID UNC2717 zugewiesen), aber die Experten wussten praktisch nichts davon.

In beiden Fällen, die Angreifer installierten Web-Shells auf anfälligen Geräten, und benutzte sie dann, um zu den Opfern zu gehen’ interne Netzwerke, von wo sie Zugangsdaten gestohlen haben, Briefe und vertrauliche Dokumente.

Jetzt in a neuer Bericht, FireEye schreibt, dass eine weitere Untersuchung dieser Angriffe dazu beigetragen hat, etwas Seltsames zu entdecken: Mindestens eine der an den Vorfällen beteiligten Gruppen begann drei Tage vor der Offenlegung, ihre Malware aus infizierten Netzwerken zu entfernen.

“Zwischen April 17 und 20, 2021, Mandiant-Spezialisten beobachteten, dass UNC2630 Zugriff auf Dutzende von kompromittierten Geräten erhielt und Web-Shells wie ATRIUM und SLIGHTPULSE entfernten”, — Analysten schreiben.

Die Aktionen der Cyberkriminellen sehen verdächtig aus und werfen Fragen auf, beispielsweise, wenn die Angreifer von dem Interesse von FireEye erfahren könnten. Na sicher, die Entfernung der Malware könnte Zufall gewesen sein, aber wenn die UNC2630-Teilnehmer wüssten, dass FireEye einige der Netzwerke untersucht, die sie kompromittiert hatten, es scheint, dass die Hacker absichtlich einen Rückzieher gemacht und Beweise entfernt haben, um andere Operationen vor den Forschern zu schützen.

FireEye berichtet auch, dass es neue Details dieser Hacking-Kampagne entdeckt hat. So, Experten fanden vier zusätzliche Malware-Stämme (zusätzlich zu 12 zuvor beschrieben).

  • BLOODMIN — Dienstprogramm zur Analyse von Protokolldateien von Pulse Secure Connect. Ruft Informationen zu Logins ab, postet IDs und Webanfragen und kopiert die entsprechenden Daten in eine andere Datei.
  • BLUTBANK — Ein Dienstprogramm zum Stehlen von Anmeldeinformationen, das zwei Dateien mit Kennwort-Hashes oder Kennwörtern in einem offenen Test analysiert und erwartet, dass die Ausgabedatei auf der Befehlszeile angegeben wird.
  • CLEANPULSE — Es ist ein Dienstprogramm zum Patchen des Speichers, das verwendet werden kann, um das Auftreten bestimmter Protokollereignisse zu verhindern. Es wurde zusammen mit der ATRIUM-Web-Shell gefunden.
  • SCHNELLER PULS — Eine Web-Shell, die beliebige Dateien lesen kann. Wie andere Web-Shells, RAPIDPULSE ist eine Modifikation der legitimen Pulse Secure-Datei. Kann als Lader für verschlüsselte Dateien dienen.

In Ergänzung, FireEye arbeitet weiterhin mit den Entwicklern von Pulse Secure zusammen, um kompromittierte Geräte und deren Besitzer zu identifizieren. Diese Arbeit ermöglichte es Analysten, mehr über die Ziele der Angreifer zu erfahren. So, nach neuen Daten, die meisten Opfer sind Organisationen mit Sitz in den USA (andere befinden sich in europäischen Ländern). Während zuvor angenommen wurde, dass die Angriffe auf Verteidigungsunternehmen und Regierungsbehörden gerichtet waren, nun ist klar, dass die Angreifer auch auf die Telekommunikation abzielten, Finanz- und Transportunternehmen.

Während frühere FireEye-Analysten schrieben, dass nur UNC2630 Verbindungen zur chinesischen Regierung haben kann, jetzt sind sie zuversichtlich, dass beide Gruppen Cyberspionage betreiben und “die wichtigsten Prioritäten der chinesischen Regierung unterstützen.”

Lass mich dich daran erinnern, dass ich das auch geschrieben habe XCSSET-Malware verwendet 0-Day-Angriffe in macOS.

Schlagwörter
Helga SmithJuni 2, 2021Letztes Update Juni 2, 2021
33 2 Minuten gelesen

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"