中國黑客在被發現前幾天掩蓋了他們的踪跡並刪除了惡意軟件

火眼專家 引起注意 對中國黑客的奇怪行為, WHO, 試圖掩蓋他們的踪跡, 在檢測前不久刪除惡意軟件.

據研究人員稱, 兩個黑客組織正在利用 Pulse Secure VPN 中的零日漏洞攻擊美國國防承包商和世界各地政府組織的網絡.

根據火眼, 黑客攻擊始於八月 2020, 當第一個黑客組, 該公司跟踪為 UNC2630, 針對美國國防承包商和歐洲組織. 據分析人士稱, 這些黑客 “代表中國政府行事，可能與 APT5 有聯繫，” 那是另一個著名的中國網絡間諜組織.

在十月 2020, 第二組黑客加入了攻擊 (FireEye 為其分配了 ID UNC2717), 但專家們對此幾乎一無所知.

在這兩種情況下, 攻擊者在易受攻擊的設備上安裝了 web shell, 然後用它們去找受害者’ 內部網絡, 他們從哪裡竊取憑據, 信件和機密文件.

現在在一個 新報告, FireEye 寫道，對這些攻擊的進一步調查有助於發現一些奇怪的東西: 至少有一個參與事件的團體在披露前三天開始從受感染的網絡中刪除他們的惡意軟件.

“四月之間 17 和 20, 2021, Mandiant 專家觀察到 UNC2630 獲得了對數十個受感染設備的訪問權限並刪除了 ATRIUM 和 SLIGHTPULSE 等網絡外殼”, — 分析師寫道.

網絡犯罪分子的行為看起來可疑並提出問題, 例如, 如果攻擊者知道 FireEye 的興趣. 當然, 刪除惡意軟件可能是巧合, 但是如果 UNC2630 參與者知道 FireEye 正在調查他們已經入侵的一些網絡, 看來黑客故意讓步並刪除證據以保護研究人員的其他操作.

FireEye 還報告說它已經發現了這次黑客活動的新細節. 所以, 專家發現了另外四種惡意軟件 (除了 12 先前描述).

• 血礦 — Pulse Secure Connect 日誌文件分析實用程序. 檢索與登錄相關的信息, 發布 ID 和 Web 請求並將相應的數據複製到另一個文件.
• 血庫 — 一種憑據竊取實用程序，可在開放測試中解析包含密碼哈希或密碼的兩個文件，並期望在命令行上指定輸出文件.
• 清潔脈衝 — 它是一個內存補丁實用程序，可用於防止發生某些日誌事件. 它與 ATRIUM web shell 一起被發現.
• 快速脈衝 — 一個能夠讀取任意文件的 web shell. 與其他 web shell 一樣, RAPIDPULSE 是對合法 Pulse Secure 文件的修改. 可以作為加密文件的加載器.

此外, FireEye 繼續與 Pulse Secure 的開發人員合作，以識別受感染的設備及其所有者. 這項工作使分析人員能夠更多地了解攻擊者的目標. 所以, 根據新數據, 大多數受害者是總部設在美國的組織 (其他位於歐洲國家). 雖然此前人們認為襲擊的目標是國防承包商和政府機構, 現在很明顯，攻擊者還針對電信, 金融和運輸公司.

而早先的 FireEye 分析師寫道，只有 UNC2630 才能與中國政府建立聯繫, 現在他們確信這兩個組織都在從事網絡間諜活動，並且 “支持中國政府的重點工作。”

讓我提醒你，我也寫過 XCSSET 惡意軟件在 macOS 中使用 0-day 攻擊.