CISA предупредило о 13 вредоносах, выявленных на взломанных устройствах Pulse Secure

[Artifact]

Вредоносы практически не обнаруживаются антивирусными продуктами.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало предупреждение о более чем десятке образцов вредоносных программ, обнаруженных на скомпрометированных устройствах Pulse Secure. Вредоносы практически не обнаруживаются антивирусными продуктами.
В апреле нынешнего года киберпреступники начали атаковать корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure (CVE-2021-22893). Как минимум две хакерские группировки (UNC2630 и UNC2717) эксплуатировали уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.
Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510 , CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893 ), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.
CISA опубликовало результаты анализа 13 вредоносных программ, обнаруженных на скомпрометированных устройствах Pulse Connect Secure. Администраторам настоятельно рекомендуется проверить системы на предмет индикаторов компрометации и прочитать в отчете о тактике, методах и процедурах злоумышленников. В большинстве случаев вредоносные файлы представляли собой web-оболочки для активации и выполнения удаленных команд с целью обеспечения персистентности и удаленного доступа, но также присутствовали различные утилиты.
В одном из случаев злоумышленники модифицировали легитимные файлы в web-оболочки STEADYPULSE, HARDPULSE и SLIGHTPULSE, а также в один из вариантов утилиты THINBLOOD LogWiper. В другом случае злоумышленники модифицировали системный файл Pulse Secure для кражи учетных данных пользователей, авторизованных в системе.
Большинство файлов, которые эксперты CISA обнаружили на взломанных устройствах Pulse Secure, не выявлялись антивирусными решениями. Только один из вредоносов присутствовал в базе данных VirusTotal и обнаружился антивирусным ПО как вариант web-оболочки ATRIUM.