Credit:Unsplash/CC0 Public Domain美国网络安全公司Mandiant最近面临了多起围绕Pulse Secure VPN设备妥协的安全事件。参与的攻击者使用了身份验证绕过技术来绕过VPN安全参数。尽管有虚拟专用网功能,威胁组似乎已经通过网络外壳安装了APT来监控系统。这些网壳经受住了多次升级。到目前为止,Pulse Secure已经确定这次攻击是建立在之前的一系列漏洞和2021年4月刚刚发现的一个漏洞(CV E-2021-22893)的基础上进行最初的感染。自从这些攻击开始以来,Pulse Secure的母公司Ivanti已经为利用这种恶意软件的漏洞提供了修复。此外,该公司将发布Pulse Connect安全完整性工具,以便客户评估其系统是否受到影响。
目前,Pulse Secure和Mandiant一直在努力合作,为客户、政府合作伙伴和其他取证专家解决这个问题。到目前为止,调查没有显示任何证据表明软件部署或供应链流程中的任何妥协引入了这些被发现的后门。
目前,正在进行的代码分析计划正在评估与这些攻击相关的12个看似独特的恶意软件家族。在政府方面,Mandiant与Ivanti和Pulse Secure联手监控机构网络的后门活动。
全面来看,研究团队已经将绕过多因素身份验证的相关恶意木马代码标记为SLOWPULSE。就网络外壳而言,这些团队创造了代码名称RADIALPULSE和PULSECHECK。
显然,威胁团体一直在使用经过修改但合法的脉冲安全二进制文件和脚本来篡改虚拟专用网设备。事实上,与此漏洞相关的攻击可以追溯到2019年和2020年。
研究人员已经确定了攻击者过程中的以下步骤:SLOWPULSE使用带有恶意代码的Trojanized共享对象来记录凭据s并绕过身份验证检查,将恶意web shells插入合法的、可通过互联网访问的Pulse Secure VPN设备管理网页以用于目标设备,在只读和读写模式之间切换文件系统以启用文件修改,尽管管理员升级了VPN设备升级,但仍保持持久性, 取消匹配已修改的文件,并在使用后删除脚本和实用程序,以避免被检测到,并使用一种称为THINBLOOD的工具,根据威胁参与者设置的正则表达式删除所有相关的日志文件。
该漏洞的最终补丁将于本月初,即2021年5月生效。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
