31/08/21
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило пять новых аналитических отчетов с подробным описанием вредоносных программ, обнаруженных на скомпрометированных устройствах Pulse Secure.
Злоумышленники нацелены на устройства Pulse Connect Secure VPN и эксплуатируют различные уязвимости, включая CVE-2021-22893 и CVE-2021-22937.
Два образца вредоносов, как сообщает CISA, представляют собой модифицированные файлы Pulse Secure, полученные с зараженных устройств. Файлы функционируют в качестве сборщиков учетных данных. Один из файлов также выполняет функцию бэкдора, предоставляя злоумышленникам удаленный доступ к взломанному устройству. Второй содержал вредоносный скрипт оболочки, который мог регистрировать имена пользователей и пароли. Третий пример включал несколько файлов, в том числе скрипт оболочки, который изменяет файл Pulse Secure для превращения его в web-shell. Четвертый файл был разработан для перехвата многофакторной аутентификации на основе сертификатов и анализа данных входящих web-запросов.
Пятый образец состоял из двух скриптов на языке Perl, предназначенных для выполнения команд злоумышленника, библиотеки Perl, Perl-скрипта и скрипта оболочки, предназначенного для управления файлом '/bin/umount' и его выполнения.
Пять отчетов CISA по анализу вредоносных программ (MAR) содержат подробную информацию о тактике, методах и процедурах (TTP), используемых злоумышленниками, а также индикаторы компрометации.
