Америчка агенција за сајбер безбедност и безбедност инфраструктуре (ЦИСА) објавила је данас упозорење о више десетина узорака злонамерног софтвера пронађених на експлоатисаним Пулсе Сецуре уређајима које антивирусни производи углавном не откривају.
Најмање од јуна 2020., уређаји Пулсе Сецуре у владиним агенцијама САД, ентитетима критичне инфраструктуре и разним организацијама приватног сектора били су на мети актера претњи.
Противници су искористили више рањивости ( ЦВЕ-2019-11510 , ЦВЕ-2020-8260 , ЦВЕ-2020-8243 , ЦВЕ-2021-2289 ) за почетни улаз и кућишта постављена за приступ задњим вратима.
мрежна шкољка под маском
Today CISA објављено Извештаји анализе 13 малвера, од којих се неки састоје од више датотека, пронађених на компромитованим Пулсе Сецуре уређајима. Администратори се снажно охрабрују да прегледају извештаје за показатеље компромиса и да разумеју тактике, технике и процедуре (ТТП) актера претње.
Све датотеке које је ЦИСА скенирала пронађене су на компромитованим Пулсе Цоннецт Сецуре уређајима, а неке од њих су биле модификоване верзије легитимних Пулсе Сецуре скрипти.
У већини случајева, злонамерне датотеке су биле веб шкољке за покретање и извршавање даљинских команди за упорност и даљински приступ, али су постојали и услужни програми.
За један од узорака злонамерног софтвера, ЦИСА напомиње да је то „модификована верзија модула Пулсе Сецуре Перл“, односно ДСУпграде.пм, централна датотека у процедури надоградње система, коју су нападачи модификовали у веб-љусци (АТРИУМ) да би издвојили и извршавање даљинских команди.
Листа легитимних Пулсе Сецуре датотека за које је ЦИСА утврдила да их је нападач изменио такође укључује следеће:
- Лиценсесерверпрото.цги (СТЕАДИПУЛСЕ)
- тнцхцупдате.цги
- хеалтхцхецк.цги
- цомпцхецкјс.цги
- ДСУпграде.пм.цуррент
- ДСУпграде.пм.роллбацк
- цлеар_лог.сх (варијанта услужног програма ТХИНБЛООД ЛогВипер)
- цомпцхецкјава.цги (тврд пулс)
- меетинг_тестјс.цги (ЛИГХТ ПУЛСЕ)
Неке од горе наведених датотека су злонамерно модификоване у инцидентима раније ове године које је истраживала компанија за сајбер безбедност Мандиант. У априлском извештају, истраживачи напомињу да је осумњичени кинески актер претње искористио ЦВЕ-2021-22893 за почетни унос.
Према извештају Мандиант-а, противник је трансформисао легитимне датотеке у СТЕАДИПУЛСЕ, ХАРДПУЛСЕ и СЛИГХТПУЛСЕ вебхелл и варијанту варијанте ТХИНБЛООД ЛогВипер услужног програма.
У другом случају, креатор претње је модификовао системску датотеку Пулсе Сецуре да би украо податке о акредитивима од корисника који су се успешно пријавили. Прикупљене информације су затим ускладиштене у датотеци у привременом директоријуму на уређају.
Такође ЦИСА анализа модификована верзија Уник апликације за демонтажу што је нападачу дало упорност и даљински приступ укључивањем функције демонтаже компромитованог Уник уређаја.
Још један Линук алат пронађен у овим нападима је ТХИНБЛООД Лог Випер, прерушен као 'дсцлслог'. Као што назив говори, сврха услужног програма је брисање датотека приступа и евиденције догађаја.
Већина датотека које је ЦИСА пронашла на компромитованим Пулсе Сецуре уређајима нису детектовала антивирусна решења у време анализе; а само један од њих је био присутан у ВирусТотал платформи за скенирање датотека, додатој пре два месеца и детектује антивирусни механизам као варијанта АТРИУМ вебсхелл-а.
Агенција саветује администраторе да ојачају свој безбедносни став следећи најбоље праксе:
- Одржавајте антивирусне потписе и механизме ажурираним.
- Одржавајте закрпе оперативног система ажурним.
- Искључите услуге дељења датотека и штампача. Ако су ове услуге потребне, користите јаке лозинке или потврду аутентичности Ацтиве Дирецтори-а.
- Ограничите могућност (дозволе) корисника да инсталирају и покрећу нежељене софтверске апликације. Немојте додавати кориснике у групу локалних администратора осим ако је неопходно.
- Спроведите строгу политику лозинки и примените редовне промене лозинке.
- Будите пажљиви када отварате прилоге е-поште, чак и ако је прилог очекиван и изгледа да је пошиљалац познат.
- Омогућите лични заштитни зид на радним станицама агенције, конфигурисан да одбије нежељене захтеве за повезивање.
- Онемогућите непотребне услуге на радним станицама и серверима агенције.
- Скенирајте и уклоните сумњиве прилоге е-поште; проверите да ли је скенирани прилог ваш 'прави тип датотеке' (тј. екстензија одговара заглављу датотеке).
- Пратите навике корисника у прегледању веба; ограничити приступ сајтовима са неповољним садржајем.
- Будите пажљиви када користите преносиве медије (нпр. УСБ стицкове, екстерне диск јединице, ЦД-ове, итд.).
- Скенирајте сав софтвер преузет са Интернета пре него што га покренете.
- Одржавајте ситуациону свест о најновијим претњама и примените одговарајуће листе контроле приступа (АЦЛ).
Као мера предострожности, власници система и администратори треба да провере све промене конфигурације пре него што их примене да би избегли незгоде.
Шта мислиш?
