Los grupos de APT chinos continúan acelerando el pulso …



El proveedor de seguridad dice que ha observado grupos de amenazas que utilizan un conjunto de 16 herramientas diseñadas específicamente para atacar dispositivos Pulse Protected desde abril de 2020.

Múltiples grupos de amenazas cibernéticas que se cree que trabajan en apoyo de los intereses económicos a largo plazo de China continúan atacando las redes que pertenecen a organizaciones de los sectores de defensa, alta tecnología, gobierno, transporte y servicios financieros en los EE. UU. Y Europa.

El grupo Mandiant de FireEye informó esta semana que había respondido a numerosas intrusiones en las que los actores de amenazas con sede en China comprometían los dispositivos Pulse Safe VPN para irrumpir en la purple de una organización y robar datos confidenciales.

En muchos casos, los atacantes aprovecharon una vulnerabilidad de omisión de autenticación en el dispositivo Pulse Hook up Secure (PCS) (CVE-2021-22893) y una combinación de vulnerabilidades previamente conocidas para obtener acceso inicial a una pink de víctimas. La falla de derivación de autenticación se descubrió y se corrigió el mes pasado, pero solo después de que los atacantes comenzaron a explotarla en la naturaleza. Sin embargo, los investigadores de Mandiant a menudo no pudieron determinar un vector de acceso inicial porque los actores de la amenaza eliminaron o alteraron la evidencia forense o el propio dispositivo Pulse Secure había pasado por actualizaciones de program que destruyeron la evidencia del compromiso inicial.

La advertencia de Mandiant esta semana sobre la actividad de amenazas persistentes avanzadas (APT) de China dirigida a empresas estadounidenses y europeas es una actualización de una advertencia que había emitido el mes pasado sobre el mismo tema. En esa alerta, Mandiant había informado sobre dos grupos con sede en China, UNC2630 y UNC2717, que usaban una batería de herramientas de malware para atacar las vulnerabilidades en los dispositivos Pulse Secure VPN. Mandiant dijo que había observado que UNC2630 atacaba a organizaciones en la foundation industrial de defensa de Estados Unidos y que UNC2717 atacaba a una organización en la UE. El informe de Mandiant ofreció un análisis de 12 familias de códigos de malware que el proveedor de seguridad dijo que había observado que los atacantes usaban para atacar específicamente las vulnerabilidades en los dispositivos Pulse Safe VPN.

En el informe de esta semana, Mandiant dijo que había descubierto cuatro familias de malware adicionales: Bloodmine, Bloodbank, CleanPulse y RapidPulse, que parecen diseñadas específicamente para explotar las vulnerabilidades en los dispositivos Pulse Secure VPN. Eso eleva el número total de familias de malware que Mandiant dice que ha observado que los grupos APT chinos utilizan para apuntar específicamente a las VPN Pulse Protected desde abril pasado a 16.

«La actividad de explotación que hemos observado es una combinación de sistemas sin parchear con CVE de 2019 y 2020, así como un CVE 2021 sin parches (CVE-2021-22893)«, dice Stephen Eckels, ingeniero inverso de Mandiant.» Desde nuestro informe primary, Pulse Safe y Mandiant han trabajado juntos, y desde entonces se ha parcheado el día cero «.

De manera equivalent, también se han parcheado otras vulnerabilidades que Ivanti, el padre de Pulse Protected, descubrió como parte de una revisión de código, dice.

«En este momento, Pulse Secure ha parcheado todas las vulnerabilidades conocidas», dice Eckels.

Una vez en la pink, los atacantes han empleado diferentes métodos para lograr la persistencia y el movimiento lateral. En algunos casos, los atacantes han establecido sus propias cuentas de administrador community en servidores estratégicos de Home windows y las han utilizado para operar libremente dentro de la pink de la víctima. También han estado utilizando exclusivamente software malicioso y webshells Pulse Safe para mantener la presencia en lugar de depender de puertas traseras en los puntos finales internos. Con algunos ataques, los actores de la amenaza apuntaron a personas con cuentas privilegiadas comprometiendo previamente cuentas sin privilegios pertenecientes a las mismas personas.

Metas estratégicas
Según Mandiant, UNC2630 y UNC2717 son solo dos de los múltiples grupos de amenazas dirigidos a las VPN Pulse Secure que parecen funcionar en interés del gobierno chino. Varios de los grupos están utilizando el mismo conjunto de herramientas, pero sus tácticas y técnicas han tendido a variar.

La principal motivación parece ser la recopilación de datos que ayuden a China a lograr los objetivos de su reciente decimocuarto system quinquenal. Muchas de las víctimas provienen de industrias que China considera de importancia estratégica, incluidas la alta tecnología y la defensa. Mandiant dice que ha observado casos en los que los actores de amenazas chinos han robado propiedad intelectual con aplicaciones comerciales y militares duales.

Hasta ahora, al menos, no ha habido evidencia de que los actores de la amenaza hayan robado datos estadounidenses que darían a las empresas chinas una ventaja económica. Un acuerdo de 2012 entre el presidente Barack Obama y su homólogo chino Xi prohíbe específicamente el ciberespionaje que involucre tales datos. Pero eso no significa que no lo hayan hecho, dice Ben Read through, director de análisis de inteligencia de amenazas de Mandiant.

«En este momento no podemos decir que no lo hayan hecho, solo que no tenemos evidencia directa de que hayan violado (el acuerdo)», dice. «Algunas de las entidades afectadas son empresas privadas que tendrían propiedad intelectual comercial, cuyo robo violaría el acuerdo. Simplemente no hemos visto evidencia directa de que ese tipo de datos se hayan escenificado o exfiltrado».

El informe de Mandiant sobre la feroz actividad de ATP en China coincide con una advertencia de Microsoft esta semana sobre una campaña de correo electrónico generalizada de Nobellum, el actor de amenazas ruso detrás del ataque SolarWinds. En ambos casos, el motivo principal parece ser el ciberespionaje en apoyo de objetivos estratégicos nacionales.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original