Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure

[Artifact]

В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на Pulse Secure VPN.
Киберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как сообщают специалисты ИБ-компании FireEye, как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.
По словам исследователей, злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.
Вышеупомянутые хакерские группировки, UNC2630 и UNC2717, ответственны за атаки на сети оборонно-промышленной базы США и европейскую организацию соответственно. Специалисты связывают UNC2630 с правительством Китая и предполагают, что она имеет отношение к хакерской группировке APT5. Группировка осуществляла атаки с августа по октябрь 2020 года, когда в игру вступила UNC2717. Вторая группировка эксплуатировала уязвимость для развертывания кастомных образцов вредоносного ПО в сетях правительственных организаций Европы и США.
Вредоносное ПО, связанное с UNC2630: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK. Вредоносное ПО, связанное с UNC2717: HARDPULSE, QUIETPULSE и PULSEJUMP. Два дополнительных семейства вредоносных программ, STEADYPULSE и LOCKPICK, развернутые во время атак, не были связаны с определенной группой из-за недостатка сведений.
Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510 , CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.