中国黑客在被发现前几天掩盖了他们的踪迹并删除了恶意软件

火眼专家 引起注意 对中国黑客的奇怪行为, WHO, 试图掩盖他们的踪迹, 在检测前不久删除恶意软件.

据研究人员称, 两个黑客组织正在利用 Pulse Secure VPN 中的零日漏洞攻击美国国防承包商和世界各地政府组织的网络.

根据火眼, 黑客攻击始于八月 2020, 当第一个黑客组, 该公司跟踪为 UNC2630, 针对美国国防承包商和欧洲组织. 据分析人士称, 这些黑客 “代表中国政府行事，可能与 APT5 有联系，” 那是另一个著名的中国网络间谍组织.

在十月 2020, 第二组黑客加入了攻击 (FireEye 为其分配了 ID UNC2717), 但专家们对此几乎一无所知.

在这两种情况下, 攻击者在易受攻击的设备上安装了 web shell, 然后用它们去找受害者’ 内部网络, 他们从哪里窃取凭据, 信件和机密文件.

现在在一个 新报告, FireEye 写道，对这些攻击的进一步调查有助于发现一些奇怪的东西: 至少有一个参与事件的团体在披露前三天开始从受感染的网络中删除他们的恶意软件.

“四月之间 17 和 20, 2021, Mandiant 专家观察到 UNC2630 获得了对数十个受感染设备的访问权限并删除了 ATRIUM 和 SLIGHTPULSE 等网络外壳”, — 分析师写道.

网络犯罪分子的行为看起来可疑并提出问题, 例如, 如果攻击者知道 FireEye 的兴趣. 当然, 删除恶意软件可能是巧合, 但如果 UNC2630 参与者知道 FireEye 正在调查他们已经入侵的一些网络, 看来黑客故意让步并删除证据以保护研究人员的其他操作.

FireEye 还报告说它已经发现了这次黑客活动的新细节. 所以, 专家发现了另外四种恶意软件 (除了 12 先前描述).

• 血矿 — Pulse Secure Connect 日志文件分析实用程序. 检索与登录相关的信息, 发布 ID 和 Web 请求并将相应的数据复制到另一个文件.
• 血库 — 一种凭证窃取实用程序，可在开放测试中解析包含密码哈希或密码的两个文件，并期望在命令行上指定输出文件.
• 清洁脉冲 — 它是一个内存补丁实用程序，可用于防止发生某些日志事件. 它与 ATRIUM web shell 一起被发现.
• 快速脉冲 — 一个能够读取任意文件的 web shell. 与其他 web shell 一样, RAPIDPULSE 是对合法 Pulse Secure 文件的修改. 可以作为加密文件的加载器.

此外, FireEye 继续与 Pulse Secure 的开发人员合作，以识别受感染的设备及其所有者. 这项工作使分析人员能够更多地了解攻击者的目标. 所以, 根据新数据, 大多数受害者是总部设在美国的组织 (其他位于欧洲国家). 虽然此前人们认为袭击的目标是国防承包商和政府机构, 现在很明显，攻击者还针对电信, 金融和运输公司.

而早期的 FireEye 分析师写道，只有 UNC2630 可以与中国政府建立联系, 现在他们确信这两个组织都在从事网络间谍活动，并且 “支持中国政府的重点工作。”

让我提醒你，我也写过 XCSSET 恶意软件在 macOS 中使用 0-day 攻击.