Chinese hackers wissen hun sporen uit en verwijderen malware een paar dagen voor detectie
FireEye-specialisten trok de aandacht aan het vreemde gedrag van Chinese hackers, WHO, in een poging hun sporen uit te wissen, verwijder malware kort voor detectie.
Volgens de onderzoekers, twee hackgroepen gebruiken een zero-day-kwetsbaarheid in Pulse Secure VPN om de netwerken van Amerikaanse defensie-aannemers en overheidsorganisaties over de hele wereld aan te vallen.
Volgens FireEye, de hacks begonnen al in augustus 2020, wanneer de eerste hackgroep, die het bedrijf volgt als UNC2630, gerichte Amerikaanse defensie-aannemers en Europese organisaties. Volgens analisten, deze hackers “handelen namens de Chinese overheid en mogelijk banden hebben met APT5,” dat is een andere bekende Chinese cyberspionagegroep.
In oktober 2020, een tweede groep hackers sloot zich aan bij de aanvallen (FireEye gaf het de ID UNC2717), maar de experts wisten er praktisch niets van.
In beide gevallen, de aanvallers hebben webshells op kwetsbare apparaten geïnstalleerd, en ze vervolgens gebruikten om naar de slachtoffers te gaan’ interne netwerken, waar ze inloggegevens hebben gestolen, brieven en vertrouwelijke documenten.
Nu in een nieuw rapport, FireEye schrijft dat verder onderzoek naar deze aanvallen heeft geholpen om iets vreemds te ontdekken: ten minste één van de groepen die bij de incidenten betrokken waren, begon drie dagen voor de onthulling hun malware van geïnfecteerde netwerken te verwijderen.
“Tussen april 17 en 20, 2021, Mandiant-specialisten merkten op dat UNC2630 toegang kreeg tot tientallen gecompromitteerde apparaten en webshells zoals ATRIUM en SLIGHTPULSE verwijderden”, — analisten schrijven.
De acties van de cybercriminelen zien er verdacht uit en roepen vragen op, bijvoorbeeld, als de aanvallers op de hoogte zouden zijn van de interesse van FireEye. Natuurlijk, het verwijderen van de malware kan toeval zijn geweest, maar als UNC2630-deelnemers wisten dat FireEye enkele van de netwerken onderzocht die ze hadden gecompromitteerd, het lijkt erop dat de hackers opzettelijk afstand hebben genomen en bewijs hebben verwijderd om andere operaties tegen de onderzoekers te beschermen.
FireEye meldt ook dat het nieuwe details van deze hackcampagne heeft ontdekt. Zo, experts hebben vier extra soorten malware gevonden (naast de 12 eerder beschreven).
- BLOEDMIJN — Pulse Secure Connect-hulpprogramma voor analyse van logbestanden. Haalt informatie op met betrekking tot aanmeldingen, post ID's en webverzoeken en kopieert de bijbehorende gegevens naar een ander bestand.
- BLOEDBANK — Een hulpprogramma voor het stelen van inloggegevens dat twee bestanden met wachtwoordhashes of wachtwoorden parseert in een open test en verwacht dat het uitvoerbestand wordt opgegeven op de opdrachtregel.
- REINIGING — het is een hulpprogramma voor geheugenpatching dat kan worden gebruikt om te voorkomen dat bepaalde loggebeurtenissen plaatsvinden. Het is samen met de ATRIUM-webshell gevonden.
- VERSNELLING — Een webshell die willekeurige bestanden kan lezen. Net als andere webshells, RAPIDPULSE is een wijziging van het legitieme Pulse Secure-bestand. Kan dienen als een lader voor versleutelde bestanden.
In aanvulling op, FireEye blijft samenwerken met de ontwikkelaars van Pulse Secure om gecompromitteerde apparaten en hun eigenaren te identificeren. Dankzij dit werk konden analisten meer te weten komen over de doelen van de aanvallers. Zo, volgens nieuwe gegevens, de meeste slachtoffers zijn organisaties in de Verenigde Staten (andere bevinden zich in Europese landen). Terwijl eerder werd gedacht dat de aanvallen gericht waren op defensieaannemers en overheidsinstanties, het is nu duidelijk geworden dat de aanvallers zich ook richtten op telecommunicatie, financierings- en transportbedrijven.
Terwijl eerdere FireEye-analisten schreven dat alleen UNC2630 banden kan hebben met de Chinese overheid, nu zijn ze ervan overtuigd dat beide groepen zich bezighouden met cyberspionage en “ondersteuning van de belangrijkste prioriteiten van de Chinese regering.”
Laat me je eraan herinneren dat ik dat ook schreef XCSSET-malware gebruikt 0-dagen-aanvallen in macOS.