Tin tặc Trung Quốc che giấu dấu vết và xóa phần mềm độc hại vài ngày trước khi bị phát hiện
Các chuyên gia của FireEye thu hút sự chú ý trước hành vi kỳ lạ của hacker Trung Quốc, Ai, trong nỗ lực che giấu dấu vết của họ, loại bỏ phần mềm độc hại ngay trước khi phát hiện.
Theo các nhà nghiên cứu, hai nhóm hack đang lợi dụng lỗ hổng zero-day trong Pulse Secure VPN để tấn công mạng của các nhà thầu quốc phòng Mỹ và các tổ chức chính phủ trên khắp thế giới.
Theo FireEye, vụ hack bắt đầu từ tháng 8 2020, khi nhóm hack đầu tiên, mà công ty theo dõi là UNC2630, nhắm mục tiêu vào các nhà thầu quốc phòng Hoa Kỳ và các tổ chức châu Âu. Theo các nhà phân tích, những hacker này “hành động thay mặt chính phủ Trung Quốc và có thể có mối liên hệ với APT5,” đó là một nhóm gián điệp mạng nổi tiếng khác của Trung Quốc.
Vào tháng 10 2020, một nhóm tin tặc thứ hai tham gia các cuộc tấn công (FireEye đã gán cho nó ID UNC2717), nhưng các chuyên gia thực tế không biết gì về nó.
Trong cả hai trường hợp, những kẻ tấn công đã cài đặt web shell trên các thiết bị dễ bị tấn công, và sau đó dùng chúng để đến chỗ nạn nhân’ mạng nội bộ, từ đâu họ đã đánh cắp thông tin đăng nhập, thư từ và tài liệu mật.
Bây giờ trong một báo cáo mới, FireEye viết rằng việc điều tra sâu hơn về các cuộc tấn công này đã giúp phát hiện ra điều gì đó kỳ lạ: ít nhất một trong các nhóm liên quan đến vụ việc đã bắt đầu xóa phần mềm độc hại của họ khỏi mạng bị nhiễm ba ngày trước khi tiết lộ.
“Giữa tháng Tư 17 Và 20, 2021, Các chuyên gia của Mandiant quan sát thấy UNC2630 đã giành được quyền truy cập vào hàng chục thiết bị bị xâm nhập và loại bỏ các web shell như ATRIUM và SLIGHTPULSE”, - nhà phân tích viết.
Hành động của tội phạm mạng có vẻ đáng ngờ và đặt ra câu hỏi, Ví dụ, nếu những kẻ tấn công có thể biết về lợi ích từ FireEye. Tất nhiên rồi, việc loại bỏ phần mềm độc hại có thể là một sự trùng hợp ngẫu nhiên, nhưng nếu những người tham gia UNC2630 biết rằng FireEye đang điều tra một số mạng mà họ đã xâm phạm, có vẻ như tin tặc đã cố tình lùi bước và xóa bằng chứng để bảo vệ các hoạt động khác của các nhà nghiên cứu.
FireEye cũng báo cáo rằng họ đã phát hiện ra những chi tiết mới về chiến dịch hack này. Vì thế, các chuyên gia tìm thấy thêm bốn chủng phần mềm độc hại (ngoài việc 12 được mô tả trước đây).
- MỎ MÁU — Tiện ích phân tích tệp nhật ký Pulse Secure Connect. Truy xuất thông tin liên quan đến đăng nhập, đăng ID và yêu cầu web và sao chép dữ liệu tương ứng sang tệp khác.
- NGÂN HÀNG MÁU — Tiện ích đánh cắp thông tin xác thực phân tích hai tệp chứa băm mật khẩu hoặc mật khẩu trong một thử nghiệm mở và mong muốn tệp đầu ra được chỉ định trên dòng lệnh.
- XÓA SẠCH — đây là một tiện ích vá bộ nhớ có thể được sử dụng để ngăn chặn các sự kiện nhật ký nhất định xảy ra. Nó được tìm thấy cùng với web shell ATRIUM.
- TỐC ĐỘ NHANH CHÓNG — Một web shell có khả năng đọc các tập tin tùy ý. Giống như các web shell khác, RAPIDPULSE là bản sửa đổi của tệp Pulse Secure hợp pháp. Có thể phục vụ như một trình tải cho các tập tin được mã hóa.
Ngoài ra, FireEye tiếp tục hợp tác với các nhà phát triển Pulse Secure để xác định các thiết bị bị xâm nhập và chủ sở hữu của chúng. Công việc này cho phép các nhà phân tích tìm hiểu thêm về mục tiêu của những kẻ tấn công. Vì thế, theo dữ liệu mới, hầu hết nạn nhân là các tổ chức có trụ sở tại Hoa Kỳ (những người khác được đặt tại các nước châu Âu). Trong khi các cuộc tấn công trước đây được cho là nhắm vào các nhà thầu quốc phòng và cơ quan chính phủ, giờ đây đã trở nên rõ ràng rằng những kẻ tấn công cũng nhắm mục tiêu vào hệ thống viễn thông, công ty tài chính và vận tải.
Trong khi các nhà phân tích trước đó của FireEye đã viết rằng chỉ UNC2630 mới có thể có liên kết với chính phủ Trung Quốc, bây giờ họ tin chắc rằng cả hai nhóm đều tham gia vào hoạt động gián điệp mạng và “hỗ trợ các ưu tiên chính của chính phủ Trung Quốc.”
Hãy để tôi nhắc bạn rằng tôi cũng đã viết điều đó Phần mềm độc hại XCSSET sử dụng các cuộc tấn công 0 ngày trong macOS.
