Chinesische Cyberspionage-Hacker zielen weiterhin auf Pulse Secure VPN-Geräte

Cyber Security News

Cybersecurity-Forscher von FireEye haben weitere Taktiken, Techniken und Prozeduren (TTPs) aufgedeckt, die von chinesischen Bedrohungsakteuren eingesetzt werden. Diese wurden kürzlich dabei erwischt, wie sie Pulse Secure VPN-Geräte missbrauchten, um bösartige Web-Shells abzusetzen und sensible Informationen aus Unternehmensnetzwerken zu exfiltrieren.

Das Mandiant-Threat-Intelligence-Team von FireEye, das die Cyberspionage-Aktivitäten unter den beiden Bedrohungsclustern UNC2630 und UNC2717 verfolgt, sagte, dass die Eindringlinge mit den wichtigsten Prioritäten der chinesischen Regierung übereinstimmen, und fügte hinzu, dass “viele kompromittierte Organisationen in vertikalen Bereichen und Branchen tätig sind, die mit den strategischen Zielen Pekings übereinstimmen, die im jüngsten 14.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Am 20. April enthüllte das Cybersecurity-Unternehmen 12 verschiedene Malware-Familien, darunter STEADYPULSE und LOCKPICK, die mit der ausdrücklichen Absicht entwickelt wurden, Pulse Secure VPN-Appliances zu infizieren und von mehreren Cyberspionage-Gruppen eingesetzt werden, von denen angenommen wird, dass sie mit der chinesischen Regierung verbunden sind. UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, und PULSECHECK UNC2717 – HARTPULS, LEISEPULS UND IMPULSSPRUNG

Die fortlaufende Untersuchung der Angriffe durch FireEye im Rahmen der Incident-Response-Maßnahmen hat vier weitere Malware-Familien aufgedeckt, die von UNC2630 eingesetzt wurden – BLOODMINE, BLOODBANK, CLEANPULSE und RAPIDPULSE – um Anmeldeinformationen und sensible Systemdaten abzugreifen, die Ausführung beliebiger Dateien zu ermöglichen und forensische Beweise zu entfernen.

[Blocked Image: https://thehackernews.com/images/-NSSEZWK9pjk/YLCaJqPCIUI/AAAAAAAACqU/AnObAGs5rNM92xF_myGkjOHr3neFaXDgQCLcBGAsYHQ/s728-e1000/data.jpg]

Außerdem wurden die Bedrohungsakteure dabei beobachtet, wie sie zwischen dem 17. und dem 20. April Web-Shells, ATRIUM und SLIGHTPULSE von Dutzenden kompromittierter VPN-Geräte entfernten, was die Forscher als “ungewöhnlich” bezeichnen und vermuten, dass “diese Aktion eine interessante Sorge um die operative Sicherheit und eine Sensibilität für die Öffentlichkeit zeigt.”

Im Mittelpunkt dieser Einbrüche steht CVE-2021-22893, eine kürzlich gepatchte Schwachstelle in Pulse Secure VPN-Geräten, die die Angreifer ausnutzten, um zunächst im Zielnetzwerk Fuß zu fassen, um Anmeldeinformationen zu stehlen, Privilegien zu erweitern, interne Erkundungen durchzuführen, indem sie sich seitlich durch das Netzwerk bewegten, bevor sie einen dauerhaften Zugang aufrechterhielten und auf sensible Daten zugriffen.

“Sowohl UNC2630 als auch UNC2717 verfügen über fortschrittliche Techniken und gehen beeindruckende Wege, um nicht entdeckt zu werden. Die Akteure verändern Datei-Zeitstempel und bearbeiten oder löschen regelmäßig forensische Beweise wie Logs, Webserver-Core-Dumps und Dateien, die für die Exfiltration bereitgestellt wurden”, so die Forscher. “Sie demonstrieren auch ein tiefes Verständnis von Netzwerk-Appliances und fortgeschrittene Kenntnisse über ein Zielnetzwerk. Diese Vorgehensweise kann es Netzwerkverteidigern erschweren, eine vollständige Liste der verwendeten Tools, der gestohlenen Anmeldeinformationen, des ursprünglichen Eindringungsvektors oder des Startdatums des Eindringens zu erstellen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com