FireEye утверждает, что сразу две хак-группы используют уязвимость нулевого дня в Pulse Secure VPN для атак на сети американских оборонных подрядчиков и правительственных организаций по всему миру.

Специалисты обнаружили атаки в начале текущего года, и разработчики Pulse Secure VPN уже подтвердили заявления исследователей. По данным FireEye, взломы начались еще в августе 2020 года, когда первая хак-группа, которую компания отслеживает как UNC2630, нацелилась на оборонных подрядчиков США и европейские организации.

Тогда хакеры использовали комбинацию старых багов в Pulse Secure VPN, а также новую 0-day уязвимость (CVE-2021-22893), чтобы захватывать контроль над устройствами Pulse Secure, а затем устанавливать на них малварь SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE или PULSECHECK. Эти вредоносы действовали как веб-шеллы и бэкдоры в сети взломанной организации.

В октябре 2020 года к атакам присоединилась вторая группа хакеров, которой FireEye присвоила идентификатор UNC2717. Эта группировка тоже применяла аналогичные методы и 0-day баг для установки на устройства собственного набора малвари (HARDPULSE, QUIETPULSE и PULSEJUMP). От атак вторых злоумышленников страдали сети государственных учреждений в Европе и США.

Хотя FireEye не могла связать две эти группировки и кампании, специалисты отмечают, что  «возможно, одна или несколько связанных групп несут ответственность за разработку и распространение различных инструментов среди слабо связанных друг с другом APT».

По информации экспертов, атаки продолжались до марта 2021 года. За время расследования аналитикам удалось обнаружить еще два дополнительных образца малвари (таким образом, общее количество вредоносов достигло 12), которые так же использовались для взлома, но компания не смогла однозначно связать эти образцы с конкретной группой атакующих.

Хотя у FireEye нет почти никакой информации о второй хак-группе, судя по внутренним данным исследователей, первая группа UNC2630, похоже, «действует от имени правительства Китая  и может иметь связи с  APT5», то есть известной китайской кибершпионской группировкой.

Разработчики Pulse Secure VPN уже выпустили бюллетень безопасности, посвященный проблеме CVE-2021-22893. В документе можно найти рекомендации и временные меры по предотвращению атак, так как полноценный патч для этой проблемы будет доступен только в мае. Также компания представила инструмент Pulse Security Integrity Checker Tool, который предназначен для сканирования серверов Pulse Secure VPN в поисках признаков взлома, эксплуатации CVE-2021-22893 и других известных уязвимостей.

1 комментарий

  1. Аватар

    Dzen_y

    23.04.2021 в 10:47

    Сотни частных и гос предприятий все еще потенциально уязвимы.
    — Bank of Lithuania
    — AGRIBANK-STPAUL
    — Softbank BB Corp.
- European Investment Bank
    — QNB Finansbank A.S.
    — Silicon Valley Bank
    — Bridgestone Europe SA/NV
    — Nokia Oyj
    — Siemens Corporation
    — Nestle USA- Globe Center AMS
    — Avon Products Incorporated
    — Tiffany & Co.
    — Autodesk

    Инфу брал тут — https://spyse.com/advanced-search/ip?search_params=%5B%7B%22ip_site_info_title%22%3A%7B%22value%22%3A%22Pulse%20Connect%20Secure%22,%22operator%22%3A%22contains%22%7D%7D%5D

Оставить мнение