중국 해커는 탐지 며칠 전에 자신의 흔적을 숨기고 맬웨어를 제거합니다.
FireEye 전문가 관심을 끌었다 중국 해커의 이상한 행동에, WHO, 그들의 흔적을 가리기 위해, 탐지 직전에 맬웨어 제거.
연구원에 따르면, 두 개의 해킹 그룹이 Pulse Secure VPN의 제로 데이 취약점을 사용하여 전 세계의 미국 국방 계약 업체 및 정부 기관의 네트워크를 공격하고 있습니다..
FireEye에 따르면, 해킹은 8 월에 시작되었습니다. 2020, 첫 번째 해킹 그룹이, 회사가 추적하는 UNC2630, 미국 방위 계약 업체 및 유럽 조직을 대상으로. 분석가에 따르면, 이 해커들 “중국 정부를 대신하여 APT5와 연결될 수 있습니다.” 그것은 또 다른 유명한 중국 사이버 스파이 그룹입니다.
10 월 2020, 두 번째 해커 그룹이 공격에 참여했습니다. (FireEye는 ID UNC2717을 할당했습니다.), 하지만 전문가들은 그것에 대해 거의 몰랐습니다.
두 경우 모두, 공격자는 취약한 장치에 웹 셸을 설치했습니다., 그런 다음 그들을 사용하여 피해자에게’ 내부 네트워크, 자격 증명을 훔친 곳에서, 편지 및 기밀 문서.
이제 새로운 보고서, FireEye는 이러한 공격에 대한 추가 조사가 이상한 것을 발견하는 데 도움이되었다고 썼습니다.: 사건에 관련된 그룹 중 하나 이상이 공개 3 일 전에 감염된 네트워크에서 맬웨어를 제거하기 시작했습니다..
“4 월 사이 17 과 20, 2021, Mandiant 전문가들은 UNC2630이 수십 개의 손상된 장치에 액세스하고 ATRIUM 및 SLIGHTPULSE와 같은 웹 쉘을 제거했음을 관찰했습니다.”, — 분석가가 쓴다.
사이버 범죄자의 행동이 의심스럽고 의문을 제기합니다., 예를 들면, 공격자가 FireEye의 관심사를 알 수 있다면. 당연하지, 맬웨어 제거는 우연 일 수 있습니다., 하지만 UNC2630 참가자가 FireEye가 자신이 훼손한 일부 네트워크를 조사하고 있다는 것을 알고 있다면, 해커들은 연구원들로부터 다른 작업을 보호하기 위해 의도적으로 물러서 고 증거를 제거한 것으로 보입니다..
FireEye는 또한이 해킹 캠페인의 새로운 세부 사항을 발견했다고보고합니다.. 그래서, 전문가들은 4 가지 추가 악성 코드 변종을 발견했습니다. (여기에 덧붙여 12 이전에 설명한).
- 블러드 민 — Pulse Secure Connect 로그 파일 분석 유틸리티. 로그인과 관련된 정보를 검색합니다., ID 및 웹 요청을 게시하고 해당 데이터를 다른 파일에 복사.
- 혈액 은행 — 공개 테스트에서 암호 해시 또는 암호가 포함 된 두 파일을 구문 분석하고 출력 파일이 명령 줄에 지정 될 것으로 예상하는 자격 증명 도용 유틸리티.
- 클린 펄스 — 특정 로그 이벤트 발생을 방지하는 데 사용할 수있는 메모리 패치 유틸리티입니다.. ATRIUM 웹 쉘과 함께 발견되었습니다..
- 신속한 — 임의의 파일을 읽을 수있는 웹 쉘. 다른 웹 셸과 마찬가지로, RAPIDPULSE는 합법적 인 Pulse Secure 파일의 수정입니다.. 암호화 된 파일의 로더 역할을 할 수 있습니다..
게다가, FireEye는 Pulse Secure 개발자와 지속적으로 협력하여 손상된 장치 및 소유자를 식별합니다.. 이 작업을 통해 분석가는 공격자의 표적에 대해 더 많이 알 수있었습니다.. 그래서, 새로운 데이터에 따르면, 대부분의 피해자는 미국에 기반을 둔 조직입니다. (기타는 유럽 국가에 있습니다.). 이전에는 공격이 방어 계약자와 정부 기관을 표적으로 삼는 것으로 생각되었지만, 이제 공격자들이 통신을 표적으로 삼았다는 것이 분명해졌습니다., 금융 및 운송 회사.
초기 FireEye 분석가들은 UNC2630만이 중국 정부와 연결될 수 있다고 썼습니다., 이제 그들은 두 그룹이 사이버 스파이 활동에 참여하고 있다고 확신합니다. “중국 정부의 주요 우선 순위를 지원합니다.”
내가 또한 쓴 것을 상기시켜 드리겠습니다 XCSSET 악성 코드는 macOS에서 0 일 공격을 사용합니다..