Penggodam China menutup jejak mereka dan mengalih keluar perisian hasad beberapa hari sebelum pengesanan
Pakar FireEye menarik perhatian kepada perangai aneh penggodam Cina, WHO, dalam usaha untuk menutup jejak mereka, alih keluar perisian hasad sejurus sebelum pengesanan.
Menurut penyelidik, dua kumpulan penggodaman menggunakan kerentanan sifar hari dalam Pulse Secure VPN untuk menyerang rangkaian kontraktor pertahanan Amerika dan organisasi kerajaan di seluruh dunia.
Menurut FireEye, penggodaman bermula pada bulan Ogos 2020, apabila kumpulan hack pertama, yang dijejaki syarikat sebagai UNC2630, menyasarkan kontraktor pertahanan AS dan organisasi Eropah. Menurut penganalisis, penggodam ini “bertindak bagi pihak kerajaan China dan mungkin mempunyai hubungan dengan APT5,” itu adalah satu lagi kumpulan pengintipan siber Cina yang terkenal.
Pada bulan Oktober 2020, kumpulan kedua penggodam menyertai serangan (FireEye memberikannya ID UNC2717), tetapi pakar tidak tahu apa-apa mengenainya.
Dalam kedua-dua kes, penyerang memasang cangkerang web pada peranti yang terdedah, dan kemudian menggunakannya untuk pergi kepada mangsa’ rangkaian dalaman, dari mana mereka mencuri tauliah, surat dan dokumen sulit.
Sekarang dalam a laporan baru, FireEye menulis bahawa penyiasatan lanjut mengenai serangan ini membantu menemui sesuatu yang pelik: sekurang-kurangnya satu daripada kumpulan yang terlibat dalam insiden itu mula mengalih keluar perisian hasad mereka daripada rangkaian yang dijangkiti tiga hari sebelum pendedahan.
“Antara April 17 dan 20, 2021, Pakar mandat memerhatikan bahawa UNC2630 mendapat akses kepada berdozen peranti yang terjejas dan mengalih keluar cengkerang web seperti ATRIUM dan SLIGHTPULSE”, - penganalisis menulis.
Tindakan penjenayah siber itu kelihatan mencurigakan dan menimbulkan persoalan, sebagai contoh, jika penyerang boleh mengetahui tentang minat daripada FireEye. Sudah tentu, penyingkiran perisian hasad itu mungkin satu kebetulan, tetapi jika peserta UNC2630 tahu bahawa FireEye sedang menyiasat beberapa rangkaian yang telah mereka kompromi, nampaknya penggodam sengaja mengundur dan mengeluarkan bukti untuk melindungi operasi lain daripada penyelidik.
FireEye juga melaporkan bahawa ia telah menemui butiran baharu kempen penggodaman ini. Jadi, pakar menemui empat jenis perisian hasad tambahan (sebagai tambahan kepada 12 diterangkan sebelum ini).
- DARAH — Pulse Secure Connect utiliti analisis fail log. Mendapatkan semula maklumat yang berkaitan dengan log masuk, hantar ID dan permintaan web dan menyalin data yang sepadan ke fail lain.
- BANK DARAH — Utiliti mencuri bukti kelayakan yang menghuraikan dua fail yang mengandungi cincang kata laluan atau kata laluan dalam ujian terbuka dan menjangkakan fail output ditentukan pada baris arahan.
- CLEANPULSE — ia adalah utiliti menampal memori yang boleh digunakan untuk menghalang peristiwa log tertentu daripada berlaku. Ia ditemui bersama cangkerang web ATRIUM.
- CEPAT — Cangkerang web yang mampu membaca fail sewenang-wenangnya. Seperti cangkerang web lain, RAPIDPULSE ialah pengubahsuaian fail Pulse Secure yang sah. Boleh berfungsi sebagai pemuat untuk fail yang disulitkan.
Sebagai tambahan, FireEye terus bekerjasama dengan pembangun Pulse Secure untuk mengenal pasti peranti yang terjejas dan pemiliknya. Kerja ini membolehkan penganalisis mengetahui lebih lanjut mengenai sasaran penyerang. Jadi, mengikut data baru, kebanyakan mangsa adalah organisasi yang berpangkalan di Amerika Syarikat (yang lain terletak di negara Eropah). Manakala serangan sebelum ini dianggap menyasarkan kontraktor pertahanan dan agensi kerajaan, kini telah menjadi jelas bahawa penyerang juga menyasarkan telekomunikasi, syarikat kewangan dan pengangkutan.
Manakala penganalisis FireEye sebelum ini menulis bahawa hanya UNC2630 boleh mempunyai hubungan dengan kerajaan China, kini mereka yakin bahawa kedua-dua kumpulan terlibat dalam pengintipan siber dan “menyokong keutamaan utama kerajaan China.”
Izinkan saya mengingatkan anda bahawa saya juga menulis itu Malware XCSSET menggunakan serangan 0 hari dalam macOS.
