Çinli bilgisayar korsanları, tespit edilmeden birkaç gün önce izlerini kapatıyor ve kötü amaçlı yazılımları kaldırıyor

FireEye uzmanları dikkat çekti Çinli bilgisayar korsanlarının garip davranışlarına, DSÖ, izlerini örtmek amacıyla, algılamadan kısa bir süre önce kötü amaçlı yazılımları kaldırın.

Araştırmacılara göre, iki hack grubu, dünyanın dört bir yanındaki Amerikan savunma müteahhitleri ve devlet kuruluşlarının ağlarına saldırmak için Pulse Secure VPN'de sıfır gün güvenlik açığı kullanıyor.

FireEye'e göre, saldırılar ağustos ayında başladı 2020, ilk hack grubu ne zaman, hangi şirket olarak izler UNC2630, hedeflenen ABD savunma müteahhitleri ve Avrupa kuruluşları. Analistlere göre, bu hackerlar “Çin hükümeti adına hareket eder ve APT5 ile bağlantıları olabilir,” bu da bir başka tanınmış Çinli siber casusluk grubu..

Ekimde 2020, saldırılara ikinci bir hacker grubu katıldı (FireEye ona UNC2717 kimliğini atadı), ama uzmanlar bu konuda neredeyse hiçbir şey bilmiyorlardı..

Her iki durumda da, saldırganlar, savunmasız cihazlara web kabukları yükledi, ve sonra onları kurbanlara gitmek için kullandı’ iç ağlar, kimlik bilgilerini çaldıkları yerden, mektuplar ve gizli belgeler.

şimdi bir yeni rapor, FireEye, bu saldırıların daha fazla araştırılmasının garip bir şey keşfetmeye yardımcı olduğunu yazıyor: olaylara dahil olan gruplardan en az biri, ifşadan üç gün önce kötü amaçlı yazılımlarını virüslü ağlardan kaldırmaya başladı.

“Nisan arası 17 ve 20, 2021, Yetkili uzmanlar, UNC2630'un güvenliği ihlal edilmiş düzinelerce cihaza erişim sağladığını ve ATRIUM ve SLIGHTPULSE gibi ağ kabuklarını kaldırdığını gözlemledi.”, - analistler yazıyor.

Siber suçluların eylemleri şüpheli görünüyor ve soru işaretleri yaratıyor, Örneğin, saldırganlar FireEye'ın ilgisini bilseydi. Tabii ki, kötü amaçlı yazılımın kaldırılması bir tesadüf olabilirdi, ancak UNC2630 katılımcıları, FireEye'ın tehlikeye attıkları bazı ağları araştırdığını bilseydi, Görünüşe göre bilgisayar korsanları, diğer operasyonları araştırmacılardan korumak için kasıtlı olarak geri adım attı ve kanıtları kaldırdı..

FireEye ayrıca bu hackleme kampanyasının yeni ayrıntılarını keşfettiğini de bildirdi.. Yani, uzmanlar dört ek kötü amaçlı yazılım türü buldu (buna ek olarak 12 önceden belirtilen).

• KAN MADENİ — Pulse Secure Connect günlük dosyası analiz aracı. Oturum açmalarla ilgili bilgileri alır, Kimlikleri ve web isteklerini gönderin ve ilgili verileri başka bir dosyaya kopyalayın.
• KAN BANKASI — Açık bir testte parola karmalarını veya parolaları içeren iki dosyayı ayrıştıran ve çıktı dosyasının komut satırında belirtilmesini bekleyen bir kimlik bilgisi çalma yardımcı programı.
• TEMİZLİK — belirli günlük olaylarının oluşmasını önlemek için kullanılabilecek bir bellek yamalama aracıdır. ATRIUM web kabuğu ile birlikte bulundu.
• HIZLI — İsteğe bağlı dosyaları okuyabilen bir web kabuğu. Diğer web kabukları gibi, RAPIDPULSE, meşru Pulse Secure dosyasının bir modifikasyonudur.. Şifrelenmiş dosyalar için yükleyici görevi görebilir.

Ek olarak, FireEye, güvenliği ihlal edilmiş cihazları ve sahiplerini belirlemek için Pulse Secure geliştiricileriyle birlikte çalışmaya devam ediyor. Bu çalışma, analistlerin saldırganların hedefleri hakkında daha fazla bilgi edinmelerini sağladı.. Yani, yeni verilere göre, Kurbanların çoğu Amerika Birleşik Devletleri merkezli kuruluşlardır. (diğerleri Avrupa ülkelerinde bulunur). Saldırıların daha önce savunma müteahhitlerini ve devlet kurumlarını hedef aldığı düşünülürken, Saldırganların telekomünikasyonu da hedef aldığı artık anlaşıldı., finans ve nakliye şirketleri.

Daha önceki FireEye analistleri, yalnızca UNC2630'un Çin hükümetiyle bağlantıya sahip olabileceğini yazmıştı., şimdi her iki grubun da siber casusluk yaptığından eminler ve “Çin hükümetinin temel önceliklerini desteklemek.”

şunu da yazdığımı hatırlatayım XCSSET kötü amaçlı yazılımı, macOS'ta 0 günlük saldırılar kullanır.