Peretas Spionase Siber Tiongkok Terus Menargetkan Perangkat VPN Aman Pulsa

  • Whatsapp
hacker cina

Peneliti keamanan siber dari FireEye membuka kedok taktik, teknik, dan prosedur (TTP) tambahan yang diadopsi oleh aktor ancaman China yang baru-baru ini ditemukan menyalahgunakan perangkat Pulse Secure VPN untuk menjatuhkan cangkang web berbahaya dan mengekstrak informasi sensitif dari jaringan perusahaan.

Tim intelijen ancaman Mandiant FireEye, yang melacak aktivitas spionase siber di bawah dua kelompok ancaman UNC2630 dan UNC2717, berkata intrusi sejalan dengan prioritas utama pemerintah China, menambahkan “banyak organisasi yang dikompromikan beroperasi di vertikal dan industri yang selaras dengan tujuan strategis Beijing yang digariskan dalam laporan China baru-baru ini. Rencana Lima Tahun ke-14.”

Bacaan Lainnya

auditor kata sandi

Pada tanggal 20 April, perusahaan keamanan siber mengungkapkan 12 keluarga malware yang berbeda, termasuk STEADYPULSE dan LOCKPICK, yang telah dirancang dengan maksud untuk menginfeksi peralatan Pulse Secure VPN dan digunakan oleh beberapa kelompok spionase siber yang diyakini berafiliasi dengan pemerintah China.

  • UNC2630 – SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, dan PULSECHECK
  • UNC2717 – KERAS, TENANG, DAN PULSEJUMP

Investigasi berkelanjutan FireEye terhadap serangan sebagai bagian dari upaya respons insidennya telah menemukan empat keluarga malware lagi yang disebarkan oleh UNC2630 — BLOODMINE, BLOODBANK, CLEANPULSE, dan RAPIDPULSE — untuk tujuan mengumpulkan kredensial dan data sistem sensitif, memungkinkan eksekusi file sewenang-wenang, dan menghapus data forensik bukti.

hacker cina

Selain itu, pelaku ancaman juga diamati menghapus cangkang web, ATRIUM, dan SLIGHTPULSE, dari lusinan perangkat VPN yang disusupi antara 17 April dan 20 April dalam apa yang oleh para peneliti digambarkan sebagai “tidak biasa,” menunjukkan “tindakan ini menunjukkan perhatian yang menarik untuk operasional. keamanan dan kepekaan terhadap publisitas.”

Inti dari intrusi ini terletak CVE-2021-22893, kerentanan yang baru-baru ini ditambal di perangkat Pulse Secure VPN yang dieksploitasi oleh musuh untuk mendapatkan pijakan awal di jaringan target, menggunakannya untuk mencuri kredensial, meningkatkan hak istimewa, melakukan pengintaian internal dengan memindahkan secara lateral di seluruh jaringan, sebelum mempertahankan akses persisten jangka panjang, dan mengakses data sensitif.

“Baik UNC2630 dan UNC2717 menampilkan tradecraft canggih dan berusaha keras untuk menghindari deteksi. Para aktor memodifikasi cap waktu file dan secara teratur mengedit atau menghapus bukti forensik seperti log, dump inti server web, dan file yang dipentaskan untuk eksfiltrasi,” kata para peneliti. “Mereka juga menunjukkan pemahaman yang mendalam tentang peralatan jaringan dan pengetahuan lanjutan tentang jaringan yang ditargetkan. Tradecraft ini dapat mempersulit pembela jaringan untuk membuat daftar lengkap alat yang digunakan, kredensial yang dicuri, vektor intrusi awal, atau tanggal mulai penyusupan. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *