「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

同社が「UNC2630」として追跡する攻撃キャンペーンは、米国の防衛産業を標的として展開。機器にある正規の共有オブジェクトに悪意あるコードを追加し、トロイの木馬「SLOWPULSE」へと改変していた。

「SLOWPULSE」は複数の亜種が存在。認証情報の窃取や、多要素認証を含めた認証フローのバイパスが行われていた。攻撃者は、最終的に正当な認証情報を使用して、組織ネットワークへの侵入を図っていたという。

また侵害した状態を維持するため、通常は「読み取り専用モード」のファイルシステムを「書き込みモード」に変更して、アプライアンス上でバイナリやスクリプトを改ざん。

管理用ウェブページにウェブシェル「RADIALPULSE」「PULSECHECK」を設置していたほか、侵害後は、パッチの解除やプログラムの削除、関連するログファイルを消去するプログラム「THINBLOOD」なども用いて証跡の隠滅を図り、検出の回避なども行っていた。

また同社は、3月に欧州の別の組織でインシデント調査を行った際に、別の攻撃キャンペーン「UNC2717」の痕跡を発見している。

（Security NEXT - 2021/04/22 ） ツイート

PR

関連記事

Ivantiのリモートアクセス製品に複数脆弱性 - アップデートが公開
Ivanti、「外部整合性チェックツール」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
Ivanti製リモートアクセス製品に再び脆弱性 - 悪用は未確認
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表
Ivanti製品、パッチ提供に遅れ - 緩和策を回避する攻撃も
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
米政府、IvantiのVPN製品脆弱性を受けて緊急指令