Los piratas informáticos chinos cubren sus pistas y eliminan el malware unos días antes de la detección
Especialistas en FireEye llamó la atención al extraño comportamiento de los hackers chinos, OMS, en un intento por cubrir sus huellas, eliminar el malware poco antes de la detección.
Según los investigadores, Dos grupos de piratas informáticos están utilizando una vulnerabilidad de día cero en Pulse Secure VPN para atacar las redes de los contratistas de defensa estadounidenses y las organizaciones gubernamentales de todo el mundo..
Según FireEye, los hacks comenzaron en agosto 2020, cuando el primer grupo de hackeo, que la empresa rastrea como UNC2630, dirigidos a contratistas de defensa estadounidenses y organizaciones europeas. Según analistas, estos hackers “actuar en nombre del gobierno chino y puede tener conexiones con APT5,” ese es otro conocido grupo chino de ciberespionaje.
En octubre 2020, un segundo grupo de piratas informáticos se unió a los ataques (FireEye le asignó el ID UNC2717), pero los expertos no sabían prácticamente nada al respecto.
En ambos casos, los atacantes instalaron shells web en dispositivos vulnerables, y luego los usé para ir a las víctimas’ redes internas, de donde robaron credenciales, cartas y documentos confidenciales.
Ahora en un nuevo reporte, FireEye escribe que una mayor investigación de estos ataques ayudó a descubrir algo extraño: al menos uno de los grupos involucrados en los incidentes comenzó a eliminar su malware de las redes infectadas tres días antes de la divulgación.
“Entre abril 17 y 20, 2021, Los especialistas de Mandiant observaron que UNC2630 obtuvo acceso a docenas de dispositivos comprometidos y eliminaron web shells como ATRIUM y SLIGHTPULSE”, - escriben los analistas.
Las acciones de los ciberdelincuentes parecen sospechosas y plantean interrogantes, por ejemplo, si los atacantes pudieran conocer el interés de FireEye. Por supuesto, la eliminación del malware podría haber sido una coincidencia, pero si los participantes de UNC2630 sabían que FireEye estaba investigando algunas de las redes que habían comprometido, Parece que los piratas informáticos retrocedieron deliberadamente y eliminaron pruebas para proteger otras operaciones de los investigadores..
FireEye también informa que ha descubierto nuevos detalles de esta campaña de piratería.. Asi que, los expertos encontraron cuatro cepas adicionales de malware (además de 12 descrito previamente).
- MINA DE SANGRE - Utilidad de análisis de archivos de registro Pulse Secure Connect. Recupera información relacionada con los inicios de sesión, publicar ID y solicitudes web y copiar los datos correspondientes a otro archivo.
- BANCO DE SANGRE - Una utilidad de robo de credenciales que analiza dos archivos que contienen hashes de contraseñas o contraseñas en una prueba abierta y espera que el archivo de salida se especifique en la línea de comando..
- CLEANPULSE - es una utilidad de parcheo de memoria que se puede usar para evitar que ocurran ciertos eventos de registro. Se encontró junto con el shell web ATRIUM..
- PULSO RÁPIDO - Un shell web capaz de leer archivos arbitrarios.. Como otras conchas web, RAPIDPULSE es una modificación del archivo legítimo de Pulse Secure. Puede servir como cargador de archivos cifrados..
Adicionalmente, FireEye continúa trabajando con los desarrolladores de Pulse Secure para identificar los dispositivos comprometidos y sus propietarios. Este trabajo permitió a los analistas conocer más sobre los objetivos de los atacantes.. Asi que, según nuevos datos, la mayoría de las víctimas son organizaciones con sede en los Estados Unidos (otros están ubicados en países europeos). Si bien anteriormente se pensaba que los ataques estaban dirigidos a contratistas de defensa y agencias gubernamentales., ahora ha quedado claro que los atacantes también tenían como objetivo las telecomunicaciones, empresas financieras y de transporte.
Mientras que los analistas anteriores de FireEye escribieron que solo UNC2630 puede tener vínculos con el gobierno chino, ahora confían en que ambos grupos se dedican al ciberespionaje y “Apoyar las prioridades clave del gobierno chino.”
Déjame recordarte que también escribí eso El malware XCSSET utiliza ataques de día 0 en macOS.