Китайские хакеры замели следы за несколько дней до обнаружения - «Новости» » Интернет технологии
sitename
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»
 ФБР закрыло очередную версию BreachForums - «Новости»
ФБР закрыло очередную версию BreachForums - «Новости»
 Xakep.ru снова доступен в Казахстане! - «Новости»
Xakep.ru снова доступен в Казахстане! - «Новости»
 Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
Apple предлагает до 2 млн долларов за уязвимости в своих продуктах - «Новости»
 Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
Microsoft предупреждает о хак-группе, которая ворует зарплаты сотрудников вузов - «Новости»
 Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
Арест за арестом: причиной возгорания в правительственном ЦОД Южной Кореи могло стать не отключенное вовремя резервное питание - «Новости сети»
 Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
Вложи $5 млн — получи $75 млн: NVIDIA похвасталась новыми рекордами в комплексном бенчмарке InferenceMAX v1 - «Новости сети»
 Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
Тайвань заявил, что не зависит от китайских редкоземельных металлов - «Новости сети»
 Apple планирует представить на этой неделе три новых продукта - «Новости сети»
Apple планирует представить на этой неделе три новых продукта - «Новости сети»
 Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры замели следы за несколько дней до обнаружения - «Новости»

✔Китайские хакеры замели следы за несколько дней до обнаружения - «Новости»

01 июня 2021 791 Новости / Преимущества стилей / Изображения / Отступы и поля / Добавления стилей / Заработок / Вёрстка / Текст / Линии и рамки / Самоучитель CSS 0

В прошлом месяце специалисты компании FireEye заявили, что сразу две хак-группы используют уязвимость нулевого дня в Pulse Secure VPN для атак на сети американских оборонных подрядчиков и правительственных организаций по всему миру.


По данным FireEye, взломы начались еще в августе 2020 года, когда первая хак-группа, которую компания отслеживает как UNC2630, нацелилась на оборонных подрядчиков США и европейские организации. По мнению аналитиков, эти хакеры «действуют от имени правительства Китая  и могут иметь связи с APT5», то есть с другой известной китайской кибершпионской группировкой.


В октябре 2020 года к атакам присоединилась вторая группа хакеров, которой FireEye присвоила идентификатор UNC2717, однако о ней специалистам не было известно практически ничего.


В обоих случаях злоумышленники устанавливали на уязвимые устройства веб-шеллы, а затем использовали их для перехода во внутренние сети жертв, откуда похищали учетные данные, письма и конфиденциальные документы.


Теперь в новом отчете FireEye пишет, что дальнейшее изучение этих атак помогло обнаружить нечто странное: по крайней мере одна из групп, участвовавших в инцидентах, начала удалять свою малварь из зараженных сетей за три дня до раскрытия.


«В период с 17 по 20 апреля 2021 года специалисты Mandiant наблюдали, как UNC2630 получает доступ к десяткам взломанных устройств и удаляет веб-шеллы, такие как ATRIUM и SLIGHTPULSE», — пишут аналитики.


Действия злоумышленников выглядят подозрительно и вызывают вопросы, к примеру, не могли ли хакеры знать об интересе со стороны FireEye. Конечно, удаление малвари могло оказаться простым совпадением, однако если участникам UNC2630 было известно о том, что FireEye исследует некоторые из взломанных ими сетей, выходит, что хакеры сознательно отступили и удалили улики, чтобы защитить от исследователей другие операции.


Также FireEye сообщает, что обнаружила новые подробности этой хакерской кампании. Так, эксперты нашли четыре дополнительных штамма малвари (помимо 12 описанных ранее).






























Семейство малвариОписаниеГруппа
BLOODMINEУтилита для анализа файлов логов Pulse Secure Connect. Извлекает информацию, относящуюся к логинам, идентификаторам сообщений и веб-запросам, и копирует соответствующие данные в другой файл.UNC2630
BLOODBANKУтилита для кражи учетных данных, которая анализирует два файла, содержащие хэши паролей или пароли открытым тестом, и ожидает, что выходной файл будет указан в командной строке.UNC2630
CLEANPULSEУтилита для патчинга памяти, может использоваться для предотвращения возникновения определенных событий логов. Была найдена вместе с веб-шеллом ATRIUM.UNC2630
RAPIDPULSEВеб-шелл, способный читать произвольные файлы. Как и другие веб-шеллы, RAPIDPULSE — это модификация легитимного файла Pulse Secure. Может служить загрузчиком зашифрованных файлов.UNC2630

 


Кроме того, FireEye продолжает работать над выявлением взломанных устройств и их владельцев, совместно с разработчиками Pulse Secure. Эта работа позволила аналитикам узнать больше о целях злоумышленников. Так, согласно новым данным, большинство жертв — это организации, базирующиеся в США (прочие находятся в странах Европы). Хотя ранее считалось, что атаки были нацелены на оборонных подрядчиков и правительственные организации, теперь стало ясно, что злоумышленники также атаковали компании, работающие в сферах телекоммуникации, финансов и транспорта.





Если раньше аналитики FireEye писали, что только UNC2630 может иметь связи с китайским правительством, теперь они уверены, что обе группировки занимаются кибершпионажем и «поддерживают ключевые приоритеты правительства Китая».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В прошлом месяце специалисты компании FireEye заявили, что сразу две хак-группы используют уязвимость нулевого дня в Pulse Secure VPN для атак на сети американских оборонных подрядчиков и правительственных организаций по всему миру. По данным FireEye, взломы начались еще в августе 2020 года, когда первая хак-группа, которую компания отслеживает как UNC2630, нацелилась на оборонных подрядчиков США и европейские организации. По мнению аналитиков, эти хакеры «действуют от имени правительства Китая и могут иметь связи с APT5», то есть с другой известной китайской кибершпионской группировкой. В октябре 2020 года к атакам присоединилась вторая группа хакеров, которой FireEye присвоила идентификатор UNC2717, однако о ней специалистам не было известно практически ничего. В обоих случаях злоумышленники устанавливали на уязвимые устройства веб-шеллы, а затем использовали их для перехода во внутренние сети жертв, откуда похищали учетные данные, письма и конфиденциальные документы. Теперь в новом отчете FireEye пишет, что дальнейшее изучение этих атак помогло обнаружить нечто странное: по крайней мере одна из групп, участвовавших в инцидентах, начала удалять свою малварь из зараженных сетей за три дня до раскрытия. «В период с 17 по 20 апреля 2021 года специалисты Mandiant наблюдали, как UNC2630 получает доступ к десяткам взломанных устройств и удаляет веб-шеллы, такие как ATRIUM и SLIGHTPULSE», — пишут аналитики. Действия злоумышленников выглядят подозрительно и вызывают вопросы, к примеру, не могли ли хакеры знать об интересе со стороны FireEye. Конечно, удаление малвари могло оказаться простым совпадением, однако если участникам UNC2630 было известно о том, что FireEye исследует некоторые из взломанных ими сетей, выходит, что хакеры сознательно отступили и удалили улики, чтобы защитить от исследователей другие операции. Также FireEye сообщает, что обнаружила новые подробности этой хакерской кампании. Так, эксперты нашли четыре дополнительных штамма малвари (помимо 12 описанных ранее). Семейство малвари Описание Группа BLOODMINE Утилита для анализа файлов логов Pulse Secure Connect. Извлекает информацию, относящуюся к логинам, идентификаторам сообщений и веб-запросам, и копирует соответствующие данные в другой файл. UNC2630 BLOODBANK Утилита для кражи учетных данных, которая анализирует два файла, содержащие хэши паролей или пароли открытым тестом, и ожидает, что выходной файл будет указан в командной строке. UNC2630 CLEANPULSE Утилита для патчинга памяти, может использоваться для предотвращения возникновения определенных событий логов. Была найдена вместе с веб-шеллом ATRIUM. UNC2630 RAPIDPULSE Веб-шелл, способный читать произвольные файлы. Как и другие веб-шеллы, RAPIDPULSE — это модификация легитимного файла Pulse Secure. Может служить загрузчиком зашифрованных файлов. UNC2630 Кроме того, FireEye продолжает работать над выявлением взломанных устройств и их владельцев, совместно с разработчиками Pulse Secure. Эта работа позволила аналитикам узнать больше о целях злоумышленников. Так, согласно новым данным, большинство жертв — это организации, базирующиеся в США (прочие находятся в странах Европы). Хотя ранее считалось, что атаки были нацелены на оборонных подрядчиков и правительственные организации, теперь стало ясно, что злоумышленники также атаковали компании, работающие в сферах телекоммуникации, финансов и транспорта. Если раньше аналитики FireEye писали, что только UNC2630 может иметь связи с китайским правительством, теперь они уверены, что обе группировки занимаются кибершпионажем и «поддерживают ключевые приоритеты правительства Китая».
CSS
запостил(а)
Douglas
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: