Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

21 апреля 2021 года

Wikinews-logo-ru.svg

Киберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как сообщают

	специалисты ИБ-компании FireEye, как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах.

По словам исследователей, злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.

Вышеупомянутые хакерские группировки, UNC2630 и UNC2717, ответственны за атаки на сети оборонно-промышленной базы США и европейскую организацию соответственно. Специалисты связывают UNC2630 с правительством Китая и предполагают, что она имеет отношение к хакерской группировке APT5. Группировка осуществляла атаки с августа по октябрь 2020 года, когда в игру вступила UNC2717. Вторая группировка эксплуатировала уязвимость для развертывания кастомных образцов вредоносного ПО в сетях правительственных организаций Европы и США.

Вредоносное ПО, связанное с UNC2630: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK. Вредоносное ПО, связанное с UNC2717: HARDPULSE, QUIETPULSE и PULSEJUMP. Два дополнительных семейства вредоносных программ, STEADYPULSE и LOCKPICK, развернутые во время атак, не были связаны с определенной группой из-за недостатка сведений.

Путем эксплуатации уязвимостей в Pulse Secure VPN ( CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 и CVE-2021-22893), группировка UNC2630 похищала учетные данные и с их помощью перемещались в атакуемой среде. С целью получения постоянства в скомпрометированной сети хакеры использовали модифицированные версии легитимного кода и скриптов Pulse Secure для выполнения произвольных команд и внедрения web-оболочек.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure