Hackers chineses encobrem seus rastros e removem malware alguns dias antes da detecção
Especialistas FireEye chamou atenção ao estranho comportamento dos hackers chineses, quem, na tentativa de cobrir seus rastros, remova o malware pouco antes da detecção.
De acordo com os pesquisadores, dois grupos de hack estão usando uma vulnerabilidade de dia zero no Pulse Secure VPN para atacar as redes de empreiteiros de defesa americanos e organizações governamentais em todo o mundo.
De acordo com FireEye, os hacks começaram em agosto 2020, quando o primeiro grupo de hack, que a empresa rastreia como UNC2630, alvejados empreiteiros de defesa dos EUA e organizações europeias. De acordo com analistas, esses hackers “agir em nome do governo chinês e pode ter conexões com APT5,” esse é outro grupo de espionagem cibernética chinês bem conhecido.
Em outubro 2020, um segundo grupo de hackers juntou-se aos ataques (FireEye atribuiu a ele o ID UNC2717), mas os especialistas não sabiam praticamente nada sobre isso.
Em ambos os casos, os invasores instalaram shells da web em dispositivos vulneráveis, e depois os usou para ir às vítimas’ redes internas, de onde eles roubaram credenciais, cartas e documentos confidenciais.
Agora em um novo relatório, FireEye escreve que uma investigação mais aprofundada desses ataques ajudou a descobrir algo estranho: pelo menos um dos grupos envolvidos nos incidentes começou a remover seu malware das redes infectadas três dias antes da divulgação.
“Entre abril 17 e 20, 2021, Os especialistas da Mandiant observaram que o UNC2630 obteve acesso a dezenas de dispositivos comprometidos e removeu shells da web, como ATRIUM e SLIGHTPULSE”, - analistas escrevem.
As ações dos cibercriminosos parecem suspeitas e levantam questões, por exemplo, se os invasores pudessem saber sobre o interesse da FireEye. Claro, a remoção do malware pode ter sido uma coincidência, mas se os participantes do UNC2630 soubessem que a FireEye estava investigando algumas das redes que eles haviam comprometido, parece que os hackers recuaram deliberadamente e removeram evidências para proteger outras operações dos pesquisadores.
FireEye também relata que descobriu novos detalhes desta campanha de hacking. assim, especialistas encontraram quatro cepas adicionais de malware (Em adição ao 12 descrito anteriormente).
- SANGUE - Utilitário de análise de arquivo de log do Pulse Secure Connect. Recupera informações relacionadas a logins, postar IDs e solicitações da web e copiar os dados correspondentes para outro arquivo.
- BANCO DE SANGUE - Um utilitário de roubo de credenciais que analisa dois arquivos contendo hashes de senha ou senhas em um teste aberto e espera que o arquivo de saída seja especificado na linha de comando.
- CLEANPULSE - é um utilitário de patch de memória que pode ser usado para evitar que certos eventos de registro ocorram. Foi encontrado junto com o shell da web ATRIUM.
- PULSO RÁPIDO - Um shell da web capaz de ler arquivos arbitrários. Como outras conchas da web, RAPIDPULSE é uma modificação do arquivo legítimo do Pulse Secure. Pode servir como carregador para arquivos criptografados.
além do que, além do mais, A FireEye continua a trabalhar com os desenvolvedores do Pulse Secure para identificar dispositivos comprometidos e seus proprietários. Este trabalho permitiu que os analistas aprendessem mais sobre os alvos dos atacantes. assim, de acordo com novos dados, a maioria das vítimas são organizações com sede nos Estados Unidos (outros estão localizados em países europeus). Embora se pensasse anteriormente que os ataques tinham como alvo empreiteiros de defesa e agências governamentais, agora ficou claro que os invasores também visaram as telecomunicações, empresas financeiras e de transporte.
Considerando que os analistas anteriores da FireEye escreveram que apenas UNC2630 pode ter ligações com o governo chinês, agora eles estão confiantes de que ambos os grupos estão envolvidos em espionagem cibernética e “apoiar as principais prioridades do governo chinês.”
Deixe-me lembrá-lo de que também escrevi que Malware XCSSET usa ataques de 0 dia no macOS.