中国网络间谍黑客继续以脉冲安全VPN设备为目标

FireEye的网络安全研究人员揭露了中国威胁行为人采用的其他战术、技术和程序（TTP），这些人最近被发现滥用Pulse-Secure VPN设备，投放恶意网络外壳，并从企业网络中过滤敏感信息。

FireEye的Mandiant threat intelligence团队在两个活动集群UNC2630和UNC2717下跟踪网络间谍活动，该团队表示，入侵符合中国政府的关键优先事项，补充道：“许多受损组织在垂直领域和行业开展业务，与中国最近的“十四五”规划中概述的北京战略目标保持一致。”

4月20日，这家网络安全公司披露了包括STEADYPULSE和LOCKPICK在内的12个不同的恶意软件系列，它们的设计意图明确表示要感染Pulse Secure VPN设备，并被至少两个据信隶属于中国政府的网络间谍组织使用。

• UNC2630-慢脉冲、放射脉冲、稀血、心房、起搏器、慢脉冲和脉冲检查
• UNC2717-硬脉冲、静脉冲和脉冲跳跃

FireEye继续对这些攻击进行调查，作为其事件响应工作的一部分，已发现由UNC2630—；血矿、血库、清洁脉冲和快速脉冲—；用于获取凭证和敏感系统数据，允许任意文件执行，以及删除法医证据。

此外，在4月17日至4月20日期间，还观察到威胁参与者从数十台受损VPN设备上移除网络外壳、中庭和SlingPulse，研究人员称这是“不同寻常的”，表明“这一行动显示了对运营安全的关注和对宣传的敏感性。”

这些入侵的核心是CVE-2021-22893，这是脉冲安全VPN设备中最近修补的一个漏洞，对手利用该漏洞在目标网络上获得初始立足点，利用它窃取凭据、升级权限、通过在网络上横向移动进行内部侦察，在维护长期持久访问和访问敏感数据之前。

研究人员说：“UNC2630和UNC2717都展示了先进的工艺，而且为了避免被发现，它们的长度令人印象深刻。参与者修改文件时间戳，并定期编辑或删除取证证据，如日志、web服务器核心转储，以及用于过滤的文件。”。“他们还展示了对网络设备的深刻理解和对目标网络的高级知识。这种交易技巧可能会使网络防御者难以建立一份完整的所用工具、被盗凭证、初始入侵向量或入侵开始日期列表。”