Η CISA κυκλοφόρησε μια ειδοποίηση για διάφορα δείγματα malware που βρέθηκαν σε συσκευές Pulse Secure, και που σε μεγάλο βαθμό δεν εντοπίστηκαν από προϊόντα προστασίας από ιούς.
Από τον Ιούνιο του 2020, Pulse Secure συσκευές σε κυβερνητικές υπηρεσίες των Η.Π.Α., κρίσιμες υποδομές και διάφορους οργανισμούς του ιδιωτικού τομέα αποτελούν στόχο κυβερνοεπιθέσεων.
Δείτε επίσης: Η Verizon και η μεγαλύτερη εταιρεία ύδρευσης των ΗΠΑ επηρεάστηκαν από το Ρulse Secure hack
Οι επιτιθέμενοι αξιοποίησαν πολλαπλές ευπάθειες (CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-2289) για την αρχική είσοδο και τοποθέτησαν webshells για backdoor access.
Χθες, η CISA δημοσίευσε αναφορές για 13 δείγματα κακόβουλου λογισμικού, τα οποία βρέθηκαν σε παραβιασμένες συσκευές Pulse Secure. Οι διαχειριστές ενθαρρύνονται να εξετάσουν τις αναφορές για το εντοπισμό δεικτών παραβίασης και για να μάθουν τις τακτικές, τις τεχνικές και τις διαδικασίες των επιτιθέμενων.
Όλα τα κακόβουλα αρχεία που ανέλυσε η CISA βρέθηκαν σε παραβιασμένες συσκευές Pulse Connect Secure και μερικά από αυτά ήταν τροποποιημένες εκδόσεις νόμιμων Pulse Secure scripts.
Στις περισσότερες περιπτώσεις, τα κακόβουλα αρχεία ήταν webshells για ενεργοποίηση και εκτέλεση εντολών.
Μιλώντας για ένα συγκεκριμένο δείγμα malware, η CISA αναφέρει ότι είναι μια “τροποποιημένη έκδοση ενός Pulse Secure Perl Module” (DSUpgrade.pm), το οποίο οι εισβολείς μετέτρεψαν σε ένα webshell (ATRIUM) για εκτέλεση εντολών απομακρυσμένα.
Η λίστα των νόμιμων αρχείων Pulse Secure τροποποιήθηκαν από τους hackers, περιλαμβάνει τα:
- licenseserverproto.cgi (STEADYPULSE)
- tnchcupdate.cgi
- healthcheck.cgi
- compcheckjs.cgi
- DSUpgrade.pm.current
- DSUpgrade.pm.rollback
- clear_log.sh (THINBLOOD LogWiper Utility Variant)
- compcheckjava.cgi (hardpulse)
- meeting_testjs.cgi (SLIGHTPULSE)
Ορισμένα από τα παραπάνω αρχεία τροποποιήθηκαν για κακόβουλους σκοπούς σε φετινές επιθέσεις, που διερευνήθηκαν από την εταιρεία Mandiant. Σε μια έκθεση τον Απρίλιο, οι ερευνητές ανέφεραν ότι Κινέζοι hackers είχαν εκμεταλλευτεί την ευπάθεια CVE-2021-22893.
Δείτε επίσης: Τέσσερα νέα εργαλεία malware επηρεάζουν συσκευές Pulse Secure VPN
Σύμφωνα με την έκθεση της Mandiant, οι επιτιθέμενοι αξιοποίησαν την ευπάθεια και μετέτρεψαν τα νόμιμα αρχεία στα webhells STEADYPULSE, HARDPULSE και SLIGHTPULSE.
Σε μια άλλη περίπτωση, οι επιτιθέμενοι τροποποίησαν ένα Pulse Secure system file για να κλέψουν credentials.
Τα περισσότερα από τα αρχεία που βρήκε η CISA σε παραβιασμένες συσκευές Pulse Secure δεν εντοπίστηκαν από λύσεις προστασίας από ιούς. Μόνο ένα από αυτά εντοπίστηκε.
Δείτε επίσης: Κινέζοι χάκερς εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ
Η CISA συνιστά στους διαχειριστές να ενισχύσουν την ασφάλειά τους ακολουθώντας τις παρακάτω πρακτικές:
- Ενημέρωση antivirus signatures.
- Ενημέρωση λειτουργικού συστήματος.
- Απενεργοποίηση File and Printer sharing υπηρεσιών. Εάν απαιτούνται αυτές οι υπηρεσίες, χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης ή Active Directory authentication.
- Επιβολή περιορισμών στους χρήστες, ώστε να μην μπορούν να εγκαθιστούν και να εκτελούν ανεπιθύμητες software εφαρμογές.
- Χρήση ισχυρών κωδικών πρόσβασης.
- Προσοχή κατά το άνοιγμα emails και συνημμένων.
- Ενεργοποίηση firewall.
- Απενεργοποίηση περιττών υπηρεσιών σε workstations και servers.
- Σάρωση και κατάργηση ύποπτων συνημμένων σε emails.
- Παρακολούθηση των browsing δραστηριοτήτων των χρηστών. Περιορισμός της πρόσβασης σε sites με επικίνδυνο περιεχόμενο.
- Προσοχή κατά τη χρήση removable media (π.χ. USB thumb drive, εξωτερικές μονάδες δίσκου, CD κ.λπ.).
- Σάρωση των λογισμικών που κατεβάζετε από το Internet, πριν την εκτέλεσή τους.
- Ενημέρωση σχετικά με τις νέες απειλές στον κυβερνοχώρο.
Πηγή: Bleeping Computer