Chinese cyberspies are targeting US, EU orgs with new malware
2021/05/28 BleepingComputer — 中国における複数の脅威グループが、Pulse Secure VPN アプライアンスの脆弱性を悪用して、すでに侵害されている米国および EU の数十の組織のネットワーク上に、新たなマルウェアを展開し続けている。
2021年4月に FireEye の Threat Analysts が明らかにしたように、国家により支援された脅威アクターたちは、Pulse Connect Secure ゲートウェイ上で、最近になってパッチが適用されたゼロデイを悪用している。彼らは、対象となるデバイスを侵害した後に、ネットワークへの長期的なアクセスを維持するためのマルウェアを導入し、認証情報を収集して、機密データを盗み出している。
FireEye は 5月27日に発表したフォローアップ・レポートで、「ハッカー・グループである UNC2630 と UNC2717 によるスパイ活動は、中国政府が優先している重要事項をサポートしていると評価している。侵害された組織の多くは、最近の中国における 第14次 5カ年計画で説明された、北京政府の戦略目標と競合する業種や業界で活動している」と述べています。
UNC2630 は、2020年8月から2021年3月に間に、SLOWPULSE / RADIALPULSE / THINBLOOD / ATRIUM / PACEMAKER / SLIGHTPULSE / PULSECHECK などのマルウェアを展開しています。また UNC2717 は、2020年10月から2021年3月の間に、HARDPULSE / QUIETPULSE / PULSEJUMP などのマルウェアを展開しているとのことです。どちらのグループも、その存在を隠すために高度な技術を駆使しているようです。彼らは、ファイルのタイムスタンプを改ざんし、フォレンジックの証拠となるログや、Web サーバのコアダンプ、流出用にステージングしたファイルなどを、定期的に編集/削除しているようです。
IoT OT Security News 