中国のハッカーが追跡を行い、検出の数日前にマルウェアを削除

FireEyeのスペシャリスト 注目を集めた 中国のハッカーの奇妙な行動に, WHO, 彼らの痕跡を隠そうとして, 検出直前にマルウェアを削除.

研究者によると, 2 つのハッキング グループが Pulse Secure VPN のゼロデイ脆弱性を利用して、世界中のアメリカの防衛請負業者と政府機関のネットワークを攻撃しています。.

FireEyeによると, ハッキングは 8 月に始まった 2020, 最初のハッキンググループのとき, 会社が追跡するもの UNC2630, 米国の防衛請負業者とヨーロッパの組織を標的にした. アナリストによると, これらのハッカー “中国政府に代わって行動し、APT5 と関係がある可能性があります。” これは、もう 1 つの有名な中国のサイバー スパイ グループです。.

10月中 2020, ハッカーの 2 番目のグループが攻撃に参加しました (FireEye は ID UNC2717 を割り当てました。), しかし、専門家はそれについてほとんど何も知りませんでした.

両方の場合において, 攻撃者は脆弱なデバイスに Web シェルをインストールしました, そしてそれらを使って犠牲者のところへ行きました’ 内部ネットワーク, 彼らが資格情報を盗んだ場所から, 手紙と機密文書.

今、 新しいレポート, FireEye は、これらの攻撃をさらに調査することで奇妙なものを発見したと書いています。: インシデントに関与したグループの少なくとも 1 つは、開示の 3 日前に感染したネットワークからマルウェアの削除を開始しました。.

“4月の間 17 そして 20, 2021, Mandiant の専門家は、UNC2630 が侵害された数十のデバイスにアクセスし、ATRIUM や SLIGHTPULSE などの Web シェルを削除したことを確認しました。”, — アナリストは書く.

サイバー犯罪者の行動は疑わしく見え、疑問を投げかけます, 例えば, 攻撃者が FireEye の関心を知ることができた場合. もちろん, マルウェアの削除は偶然だった可能性があります, ただし、UNC2630の参加者が、侵入したネットワークの一部をFireEyeが調査していることを知っていた場合, ハッカーは、研究者から他の操作を保護するために、意図的に後退し、証拠を削除したようです。.

FireEye は、このハッキング キャンペーンの新しい詳細を発見したとも報告しています。. そう, 専門家はさらに 4 種類のマルウェアを発見しました。 (に加えて 12 前述の).

• ブルードミン — Pulse Secure Connect ログ ファイル分析ユーティリティ. ログインに関連する情報を取得します, ID と Web リクエストを投稿し、対応するデータを別のファイルにコピーします.
• 血液バンク — オープン テストでパスワード ハッシュまたはパスワードを含む 2 つのファイルを解析し、出力ファイルがコマンド ラインで指定されることを期待する資格情報窃取ユーティリティ.
• クリアパルス — 特定のログ イベントの発生を防止するために使用できるメモリ パッチ ユーティリティです。. ATRIUM Web シェルと一緒に見つかりました。.
• ラピッドパルス — 任意のファイルを読み取ることができる Web シェル. 他の Web シェルのように, RAPIDPULSE は、正当な Pulse Secure ファイルの変更です。. 暗号化されたファイルのローダーとして機能できます.

加えて, FireEye は引き続き Pulse Secure の開発者と協力して、侵害されたデバイスとその所有者を特定します。. この作業により、アナリストは攻撃者の標的についてさらに知ることができました。. そう, 新しいデータによると, 犠牲者のほとんどは、米国に拠点を置く組織です。 (他はヨーロッパ諸国にあります). 以前は、攻撃は防衛関連の請負業者や政府機関を標的にしていると考えられていましたが、, 攻撃者が電気通信も標的にしていることが明らかになりました。, 金融・運輸会社.

以前の FireEye のアナリストは、UNC2630 のみが中国政府とリンクできると書いていましたが、, 現在、彼らは、両方のグループがサイバースパイ活動に関与していると確信しています。 “中国政府の重要な優先事項を支持する。”

私もそう書いたことを思い出させてください XCSSET マルウェアは、macOS でゼロデイ攻撃を使用します.