Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure

Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure

В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на Pulse Secure VPN.

Киберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как сообщают специалисты ИБ-компании FireEye, как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.

По словам исследователей, злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.

Вышеупомянутые хакерские группировки, UNC2630 и UNC2717, ответственны за атаки на сети оборонно-промышленной базы США и европейскую организацию соответственно. Специалисты связывают UNC2630 с правительством Китая и предполагают, что она имеет отношение к хакерской группировке APT5. Группировка осуществляла атаки с августа по октябрь 2020 года, когда в игру вступила UNC2717. Вторая группировка эксплуатировала уязвимость для развертывания кастомных образцов вредоносного ПО в сетях правительственных организаций Европы и США.

Вредоносное ПО, связанное с UNC2630: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK. Вредоносное ПО, связанное с UNC2717: HARDPULSE, QUIETPULSE и PULSEJUMP. Два дополнительных семейства вредоносных программ, STEADYPULSE и LOCKPICK, развернутые во время атак, не были связаны с определенной группой из-за недостатка сведений.

Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510 , CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!