Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure

21/04/21

hack92-Apr-21-2021-10-14-01-21-AMКиберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как сообщают специалисты ИБ-компании FireEye, как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.

По словам исследователей, злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.

Вышеупомянутые хакерские группировки, UNC2630 и UNC2717, ответственны за атаки на сети оборонно-промышленной базы США и европейскую организацию соответственно. Специалисты связывают UNC2630 с правительством Китая и предполагают, что она имеет отношение к хакерской группировке APT5. Группировка осуществляла атаки с августа по октябрь 2020 года, когда в игру вступила UNC2717. Вторая группировка эксплуатировала уязвимость для развертывания кастомных образцов вредоносного ПО в сетях правительственных организаций Европы и США.

Вредоносное ПО, связанное с UNC2630: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK. Вредоносное ПО, связанное с UNC2717: HARDPULSE, QUIETPULSE и PULSEJUMP. Два дополнительных семейства вредоносных программ, STEADYPULSE и LOCKPICK, развернутые во время атак, не были связаны с определенной группой из-за недостатка сведений.

Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510 , CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.

Темы:ПреступленияFireEyeVPN-сервисы0-day уязвимости
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...