Tin tặc Trung Quốc tiếp tục nhắm vào thiết bị VPN Pluse Secure

Marcus1337

VIP Members
01/04/2021
62
76 bài viết
Tin tặc Trung Quốc tiếp tục nhắm vào thiết bị VPN Pluse Secure
Các nhà nghiên cứu an ninh mạng từ FireEye đã tiết lộ thêm về các chiến thuật, kỹ thuật và quy trình được các tin tặc Trung Quốc áp dụng.

Nhóm tình báo về mối đe dọa Mandiant của FireEye, đang theo dõi hoạt động gián điệp mạng dưới hai nhóm tấn công UNC2630 và UNC2717, cho biết các cuộc xâm nhập phù hợp với các ưu tiên chính của chính phủ Trung Quốc.

Ngày 20 tháng 4, hãng bảo mật này đã tiết lộ 12 loại phần mềm độc hại khác nhau, bao gồm STEADYPULSE và LOCKPICK, được thiết kế với mục đích rõ ràng là lây nhiễm các thiết bị Pulse Secure VPN và được một số nhóm gián điệp mạng được cho là có liên kết với chính phủ Trung Quốc sử dụng. 12 loại mã độc bị phát hiện gồm:
  • Nhóm UNC2630 sử dụng SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE và PULSECHECK
  • Nhóm UNC2717 sử dụng: HARDPULSE, QUIETPULSE và PULSEJUMP
Việc FireEye tiếp tục điều tra các cuộc tấn công như một phần của nỗ lực ứng phó sự cố đã phát hiện thêm bốn loại phần mềm độc hại được triển khai bởi UNC2630 - BLOODMINE, BLOODBANK, CLEANPULSE và RAPIDPULSE - nhằm mục đích thu thập thông tin xác thực và dữ liệu hệ thống nhạy cảm, cho phép thực thi tệp tùy ý và xóa các bằng chứng truy cập.

data.jpg

Lỗ hổng dùng cho các vụ xâm nhập này là CVE-2021-22893, một lỗ hổng gần đây đã được vá trong các thiết bị Pulse Secure VPN, khai thác để có được xâm nhập ban đầu hệ thống mạng mục tiêu, từ đó đánh cắp thông tin đăng nhập, leo thang đặc quyền, tiến hành trinh sát nội bộ bằng cách di chuyển ngang qua mạng, trước khi duy trì quyền truy cập liên tục lâu dài và truy cập dữ liệu nhạy cảm.
Cả 2 nhóm UNC2630 và UNC2717 đều có những cơ chế đánh tránh phát hiện và xóa bỏ các bằng chứng tồn tại khi xâm nhập vào hệ thống. Điều này gây khó cho các hệ thống giám sát phát hiện 2 nhóm mã độc này. Người dùng và các tổ chức nên sớm tiến hành update bản vá cho Pulse Secure VPN.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên