Kinesiske hackere dekker sporene sine og fjerner skadelig programvare noen dager før deteksjon

FireEye-spesialister vakte oppmerksomhet til den rare oppførselen til kinesiske hackere, WHO, i et forsøk på å dekke sporene deres, fjerne skadelig programvare kort tid før deteksjon.

Ifølge forskerne, to hackgrupper bruker en null-dagers sårbarhet i Pulse Secure VPN for å angripe nettverk av amerikanske forsvarskontraktører og regjeringsorganisasjoner over hele verden.

I følge FireEye, hackene startet helt tilbake i august 2020, når den første hackgruppen, som selskapet sporer som UNC2630, rettet mot amerikanske forsvarskontraktører og europeiske organisasjoner. Ifølge analytikere, disse hackerne “handle på vegne av den kinesiske regjeringen og kan ha forbindelser med APT5,” det er en annen kjent kinesisk spioneringsgruppe.

I oktober 2020, en annen gruppe hackere ble med på angrepene (FireEye tildelte den ID UNC2717), men ekspertene visste praktisk talt ingenting om det.

I begge tilfeller, angriperne installerte nettskall på sårbare enheter, og brukte dem så til ofrene’ interne nettverk, der de stjal legitimasjon, brev og konfidensielle dokumenter.

Nå i en ny rapport, FireEye skriver at videre etterforskning av disse angrepene bidro til å oppdage noe rart: minst en av gruppene som var involvert i hendelsene begynte å fjerne skadelig programvare fra infiserte nettverk tre dager før avsløring.

“Mellom april 17 og 20, 2021, Mandiant-spesialister observerte at UNC2630 fikk tilgang til dusinvis av kompromitterte enheter og fjernet nettskall som ATRIUM og SLIGHTPULSE”, - skriver analytikere.

Handlingen til nettkriminelle ser mistenkelig ut og reiser spørsmål, for eksempel, hvis angriperne kunne vite om interessen fra FireEye. Selvfølgelig, fjerning av skadelig programvare kan ha vært en tilfeldighet, men hvis UNC2630-deltakerne visste at FireEye undersøkte noen av nettverkene de hadde kompromittert, det ser ut til at hackerne bevisst rykket ned og fjernet bevis for å beskytte andre operasjoner fra forskerne.

FireEye rapporterer også at de har oppdaget nye detaljer om denne hackingkampanjen. Så, eksperter fant ytterligere fire stammer av skadelig programvare (i tillegg til det 12 tidligere beskrevet).

• BLODMINE - Pulse Secure Connect logfilanalyseverktøy. Henter informasjon relatert til pålogginger, legg ut ID-er og nettforespørsler og kopier tilsvarende data til en annen fil.
• BLOD BANK - Et legitimasjons stjeleverktøy som analyserer to filer som inneholder passordhash eller passord i en åpen test og forventer at utdatafilen skal spesifiseres på kommandolinjen.
• RENGJØRING - det er et minneoppdateringsverktøy som kan brukes til å forhindre at visse logghendelser oppstår. Det ble funnet sammen med ATRIUM web shell.
• RAPIDPULSE - Et webskall som kan lese vilkårlige filer. Som andre nettskjell, RAPIDPULSE er en modifikasjon av den legitime Pulse Secure-filen. Kan fungere som en laster for krypterte filer.

I tillegg, FireEye fortsetter å samarbeide med utviklerne av Pulse Secure for å identifisere kompromitterte enheter og deres eiere. Dette arbeidet tillot analytikere å lære mer om målene til angriperne. Så, i henhold til nye data, de fleste ofrene er organisasjoner med base i USA (andre er lokalisert i europeiske land). Mens angrepene tidligere ble antatt å være rettet mot forsvarsentreprenører og offentlige etater, det har nå blitt klart at angriperne også målrettet mot telekommunikasjon, finans- og transportselskaper.

Mens tidligere FireEye-analytikere skrev at bare UNC2630 kan ha lenker med den kinesiske regjeringen, nå er de sikre på at begge gruppene driver med cyberspionasje og “støtte nøkkelprioritetene til den kinesiske regjeringen.”

La meg minne deg om at jeg også skrev det XCSSET malware bruker 0-dagers angrep i macOS.