Kinesiska hackare täcker sina spår och tar bort skadlig kod några dagar före upptäckt
FireEye-specialister drog uppmärksamhet till det konstiga beteendet hos kinesiska hackare, vem, i ett försök att täcka över deras spår, ta bort skadlig kod strax före upptäckten.
Enligt forskarna, två hackgrupper använder en noll-dagars sårbarhet i Pulse Secure VPN för att attackera nätverk av amerikanska försvarsentreprenörer och regeringsorganisationer runt om i världen.
Enligt FireEye, hackarna började långt tillbaka i augusti 2020, när den första hackgruppen, som företaget spårar som UNC2630, riktade amerikanska försvarsentreprenörer och europeiska organisationer. Enligt analytiker, dessa hackare “agera på uppdrag av den kinesiska regeringen och kan ha förbindelser med APT5,” det är en annan välkänd kinesisk spionagegrupp.
I oktober 2020, en andra grupp hackare gick med i attackerna (FireEye tilldelade det ID UNC2717), men experterna visste praktiskt taget ingenting om det.
I båda fallen, angriparna installerade webbskal på utsatta enheter, och använde dem sedan för att gå till offren’ interna nätverk, varifrån de stal referenser, brev och konfidentiella dokument.
Nu i en ny rapport, FireEye skriver att ytterligare undersökning av dessa attacker hjälpte till att upptäcka något konstigt: åtminstone en av grupperna som var inblandade i incidenterna började ta bort sin skadlig kod från infekterade nätverk tre dagar före avslöjandet.
“Mellan april 17 och 20, 2021, Mandiant-specialister observerade att UNC2630 fick tillgång till dussintals komprometterade enheter och tog bort webbskal som ATRIUM och SLIGHTPULSE”, - skriver analytiker.
Cyberbrotternas handlingar ser misstänksamma ut och väcker frågor, till exempel, om angriparna kunde veta om intresset från FireEye. Självklart, borttagningen av skadlig kod kan ha varit en slump, men om UNC2630-deltagare visste att FireEye undersökte några av de nätverk de hade komprometterat med, det verkar som att hackarna medvetet backade och tog bort bevis för att skydda andra operationer från forskarna.
FireEye rapporterar också att de har upptäckt nya detaljer om denna hackingskampanj. Så, experter hittade ytterligare fyra stammar av skadlig kod (utöver 12 tidigare beskrivits).
- BLODMIN - Pulse Secure Connect-loggfilanalysverktyg. Hämtar information relaterad till inloggningar, skicka ID och webbförfrågningar och kopiera motsvarande data till en annan fil.
- BLODBANK - Ett stjälverktyg för referenser som analyserar två filer som innehåller lösenordshash eller lösenord i ett öppet test och förväntar sig att utdatafilen ska anges på kommandoraden.
- RENGÖRING - det är ett minnesuppdateringsverktyg som kan användas för att förhindra att vissa logghändelser inträffar. Det hittades tillsammans med ATRIUM web shell.
- RAPIDPULSE - Ett webbskal som kan läsa godtyckliga filer. Liksom andra webbskal, RAPIDPULSE är en modifiering av den legitima Pulse Secure-filen. Kan fungera som en lastare för krypterade filer.
För övrigt, FireEye fortsätter att arbeta med utvecklarna av Pulse Secure för att identifiera komprometterade enheter och deras ägare. Detta arbete gjorde det möjligt för analytiker att lära sig mer om angriparnas mål. Så, enligt nya uppgifter, de flesta offren är organisationer baserade i USA (andra finns i europeiska länder). Medan attackerna tidigare ansågs ha riktat sig till försvarsentreprenörer och myndigheter, det har nu blivit klart att angriparna också riktade sig mot telekommunikation, finans- och transportföretag.
Tidigare FireEye-analytiker skrev att endast UNC2630 kan ha länkar till den kinesiska regeringen, nu är de övertygade om att båda grupperna är engagerade i cyberspionage och “stödja de kinesiska regeringens viktigaste prioriteringar.”
Låt mig påminna dig om att jag också skrev det XCSSET-skadlig programvara använder 0-dagars attacker i macOS.