「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

同社が「UNC2630」として追跡する攻撃キャンペーンは、米国の防衛産業を標的として展開。機器にある正規の共有オブジェクトに悪意あるコードを追加し、トロイの木馬「SLOWPULSE」へと改変していた。

「SLOWPULSE」は複数の亜種が存在。認証情報の窃取や、多要素認証を含めた認証フローのバイパスが行われていた。攻撃者は、最終的に正当な認証情報を使用して、組織ネットワークへの侵入を図っていたという。

また侵害した状態を維持するため、通常は「読み取り専用モード」のファイルシステムを「書き込みモード」に変更して、アプライアンス上でバイナリやスクリプトを改ざん。

管理用ウェブページにウェブシェル「RADIALPULSE」「PULSECHECK」を設置していたほか、侵害後は、パッチの解除やプログラムの削除、関連するログファイルを消去するプログラム「THINBLOOD」なども用いて証跡の隠滅を図り、検出の回避なども行っていた。

また同社は、3月に欧州の別の組織でインシデント調査を行った際に、別の攻撃キャンペーン「UNC2717」の痕跡を発見している。

（Security NEXT - 2021/04/22 ）ツイート