แฮกเกอร์ชาวจีนปกปิดร่องรอยและกำจัดมัลแวร์เมื่อสองสามวันก่อนที่จะถูกตรวจพบ

ผู้เชี่ยวชาญ FireEye ดึงความสนใจ ไปจนถึงพฤติกรรมแปลกๆ ของแฮกเกอร์ชาวจีน, WHO, ในความพยายามที่จะปกปิดร่องรอยของพวกเขา, ลบมัลแวร์ออกไม่นานก่อนที่จะตรวจพบ.

ตามที่นักวิจัย, กลุ่มแฮ็คสองกลุ่มใช้ช่องโหว่แบบ Zero-day ใน Pulse Secure VPN เพื่อโจมตีเครือข่ายของผู้รับเหมาด้านการป้องกันประเทศสหรัฐอเมริกาและองค์กรภาครัฐทั่วโลก.

ตามข้อมูลจาก FireEye, การแฮ็กเริ่มต้นย้อนกลับไปในเดือนสิงหาคม 2020, เมื่อกลุ่มแฮ็คกลุ่มแรก, ซึ่งบริษัทติดตามเป็น UNC2630, กำหนดเป้าหมายไปที่ผู้รับเหมาด้านกลาโหมของสหรัฐฯ และองค์กรในยุโรป. ตามที่นักวิเคราะห์, แฮกเกอร์เหล่านี้ “ดำเนินการในนามของรัฐบาลจีนและอาจมีความเกี่ยวข้องกับ APT5” นั่นคือกลุ่มจารกรรมทางไซเบอร์ของจีนอีกกลุ่มหนึ่งที่มีชื่อเสียง.

ในเดือนตุลาคม 2020, แฮกเกอร์กลุ่มที่สองเข้าร่วมการโจมตี (FireEye กำหนด ID UNC2717 ให้กับมัน), แต่ผู้เชี่ยวชาญไม่รู้อะไรเลยเกี่ยวกับเรื่องนี้.

ในทั้งสองกรณี, ผู้โจมตีได้ติดตั้ง Web Shell บนอุปกรณ์ที่มีช่องโหว่, แล้วใช้มันไปหาเหยื่อ’ เครือข่ายภายใน, พวกเขาขโมยข้อมูลประจำตัวไปจากที่ใด, จดหมายและเอกสารลับ.

ตอนนี้อยู่ที่ รายงานใหม่, FireEye เขียนว่าการสืบสวนเพิ่มเติมเกี่ยวกับการโจมตีเหล่านี้ช่วยค้นพบสิ่งแปลก ๆ: อย่างน้อยหนึ่งกลุ่มที่เกี่ยวข้องกับเหตุการณ์ดังกล่าวเริ่มลบมัลแวร์ออกจากเครือข่ายที่ติดไวรัสสามวันก่อนการเปิดเผย.

“ระหว่างเดือนเมษายน 17 และ 20, 2021, ผู้เชี่ยวชาญของ Mandiant สังเกตว่า UNC2630 สามารถเข้าถึงอุปกรณ์ที่ถูกบุกรุกหลายสิบเครื่องและถอด Web Shell เช่น ATRIUM และ SLIGHTPULSE ออก”, — นักวิเคราะห์เขียน.

การกระทำของอาชญากรไซเบอร์ดูน่าสงสัยและตั้งคำถาม, ตัวอย่างเช่น, หากผู้โจมตีสามารถรู้เกี่ยวกับความสนใจจาก FireEye. แน่นอน, การกำจัดมัลแวร์อาจเป็นเรื่องบังเอิญ, แต่ถ้าผู้เข้าร่วม UNC2630 รู้ว่า FireEye กำลังตรวจสอบเครือข่ายบางส่วนที่พวกเขาถูกโจมตี, ดูเหมือนว่าแฮกเกอร์จงใจสำรองและลบหลักฐานเพื่อปกป้องการดำเนินการอื่น ๆ จากนักวิจัย.

FireEye ยังรายงานด้วยว่าได้ค้นพบรายละเอียดใหม่ของแคมเปญแฮ็กนี้. ดังนั้น, ผู้เชี่ยวชาญพบมัลแวร์เพิ่มเติมอีกสี่สายพันธุ์ (นอกเหนือจาก 12 อธิบายไว้ก่อนหน้านี้).

• บลัดไมน์ — ยูทิลิตีการวิเคราะห์ไฟล์บันทึก Pulse Secure Connect. ดึงข้อมูลที่เกี่ยวข้องกับการเข้าสู่ระบบ, โพสต์ ID และคำขอเว็บ และคัดลอกข้อมูลที่เกี่ยวข้องไปยังไฟล์อื่น.
• แบงก์เลือด — ยูทิลิตี้การขโมยข้อมูลรับรองที่แยกวิเคราะห์สองไฟล์ที่มีแฮชรหัสผ่านหรือรหัสผ่านในการทดสอบแบบเปิดและคาดว่าไฟล์เอาต์พุตจะถูกระบุในบรรทัดคำสั่ง.
• คลีนพัลส์ — เป็นยูทิลิตี้การแพตช์หน่วยความจำที่สามารถใช้เพื่อป้องกันไม่ให้เหตุการณ์บันทึกบางอย่างเกิดขึ้น. มันถูกพบพร้อมกับเปลือกเว็บเอเทรียม.
• ราพิดพัลส์ — เว็บเชลล์ที่สามารถอ่านไฟล์ที่กำหนดเองได้. เช่นเดียวกับเว็บเชลล์อื่นๆ, RAPIDPULSE เป็นการแก้ไขไฟล์ Pulse Secure ที่ถูกต้องตามกฎหมาย. สามารถทำหน้าที่เป็นตัวโหลดสำหรับไฟล์ที่เข้ารหัสได้.

นอกจากนี้, FireEye ยังคงทำงานร่วมกับนักพัฒนา Pulse Secure เพื่อระบุอุปกรณ์ที่ถูกบุกรุกและเจ้าของอุปกรณ์เหล่านั้น. งานนี้ทำให้นักวิเคราะห์สามารถเรียนรู้เพิ่มเติมเกี่ยวกับเป้าหมายของผู้โจมตีได้. ดังนั้น, ตามข้อมูลใหม่, เหยื่อส่วนใหญ่เป็นองค์กรที่ตั้งอยู่ในสหรัฐอเมริกา (บางแห่งอยู่ในประเทศแถบยุโรป). ในขณะที่ก่อนหน้านี้คิดว่าการโจมตีมีเป้าหมายไปที่ผู้รับเหมาด้านการป้องกันและหน่วยงานของรัฐ, ตอนนี้เห็นได้ชัดว่าผู้โจมตีมุ่งเป้าหมายไปที่โทรคมนาคมด้วย, บริษัทการเงินและการขนส่ง.

ในขณะที่นักวิเคราะห์ FireEye ก่อนหน้านี้เขียนว่ามีเพียง UNC2630 เท่านั้นที่สามารถเชื่อมโยงกับรัฐบาลจีนได้, ตอนนี้พวกเขามั่นใจว่าทั้งสองกลุ่มมีส่วนร่วมในการจารกรรมทางไซเบอร์และ “สนับสนุนลำดับความสำคัญที่สำคัญของรัฐบาลจีน”

ฉันขอเตือนคุณว่าฉันเขียนแบบนั้นด้วย มัลแวร์ XCSSET ใช้การโจมตี 0 วันใน macOS.