Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   CISA предупредило о 13 вредоносах, выявленных на взломанных устройствах Pulse Secure (http://txgate.io:443/showthread.php?t=14373)

Artifact 03-15-2025 01:00 AM

Вредоносы практически не обнаруживаются антивирусными продуктами.
https://www.securitylab.ru/upload/ib...48b049cac9.jpg
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало предупреждение о более чем десятке образцов вредоносных программ, обнаруженных на скомпрометированных устройствах Pulse Secure. Вредоносы практически не обнаруживаются антивирусными продуктами.
В апреле нынешнего года киберпреступники начали атаковать корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure (CVE-2021-22893). Как минимум две хакерские группировки (UNC2630 и UNC2717) эксплуатировали уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.
Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510 , CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893 ), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.
CISA опубликовало результаты анализа 13 вредоносных программ, обнаруженных на скомпрометированных устройствах Pulse Connect Secure. Администраторам настоятельно рекомендуется проверить системы на предмет индикаторов компрометации и прочитать в отчете о тактике, методах и процедурах злоумышленников. В большинстве случаев вредоносные файлы представляли собой web-оболочки для активации и выполнения удаленных команд с целью обеспечения персистентности и удаленного доступа, но также присутствовали различные утилиты.
В одном из случаев злоумышленники модифицировали легитимные файлы в web-оболочки STEADYPULSE, HARDPULSE и SLIGHTPULSE, а также в один из вариантов утилиты THINBLOOD LogWiper. В другом случае злоумышленники модифицировали системный файл Pulse Secure для кражи учетных данных пользователей, авторизованных в системе.
Большинство файлов, которые эксперты CISA обнаружили на взломанных устройствах Pulse Secure, не выявлялись антивирусными решениями. Только один из вредоносов присутствовал в базе данных VirusTotal и обнаружился антивирусным ПО как вариант web-оболочки ATRIUM.


All times are GMT. The time now is 10:34 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.