تحذر CISA من 13 برنامجًا ضارًا تم اكتشافه على أجهزة Pulse Secure المكسورة الحماية

لم يتم اكتشاف البرامج الضارة عمليًا بواسطة منتجات مكافحة الفيروسات.

وقد سايبر الولايات المتحدة وكالة الأمن البنية التحتية (CISA) أصدرت تحذيرا حول أكثر من اثني عشر وجدت عينات البرمجيات الخبيثة على الأجهزة الآمنة نبض للخطر. لم يتم اكتشاف البرامج الضارة عمليًا بواسطة منتجات مكافحة الفيروسات. في أبريل من هذا العام ، بدأ مجرمو الإنترنت في مهاجمة شبكات الشركات من خلال ثغرة يوم الصفر في بوابات Pulse Connect Secure (CVE-2021-22893). استغلت مجموعتان من المتسللين على الأقل (UNC2630 و UNC2717) الضعف لمهاجمة مؤسسات الدفاع والحكومة والمؤسسات المالية في الولايات المتحدة ودول أخرى. من خلال استغلال الثغرات الأمنية في Pulse Secure VPN ( CVE-2019-11510 و CVE-2020-8260 و CVE-2020-8243 و CVE-2021-22893 ) ، سرقت مجموعة UNC2630 بيانات الاعتماد واستخدمتها للتنقل في البيئة التي تعرضت للهجوم. من أجل اكتساب الثبات على الشبكة المخترقة ، استخدم المتسللون إصدارات معدلة من كود Pulse Secure الشرعي والبرامج النصية لتنفيذ أوامر عشوائية وضخ قذائف الويب. نشرت CISA نتائج تحليل 13 برنامجًا ضارًا تم العثور عليها في أجهزة Pulse Connect الآمنة المخترقة. يتم تشجيع المسؤولين بشدة على فحص الأنظمة بحثًا عن مؤشرات التسوية وقراءة التقرير حول تكتيكات المهاجمين وأساليبهم وإجراءاتهم. في معظم الحالات ، كانت الملفات الضارة عبارة عن قذائف ويب لتنشيط وتنفيذ الأوامر عن بُعد من أجل ضمان الاستمرارية والوصول عن بُعد ، ولكن كانت هناك أدوات مساعدة مختلفة موجودة أيضًا. في إحدى الحالات ، قام المهاجمون بتعديل الملفات الشرعية في قذائف الويب STEADYPULSE و HARDPULSE و SLIGHTPULSE ، وكذلك في أحد متغيرات الأداة المساعدة THINBLOOD LogWiper. في حالة أخرى ، قام المهاجمون بتعديل ملف نظام Pulse Secure لسرقة بيانات اعتماد المستخدمين المصرح لهم على النظام. معظم الملفات التي وجدها خبراء CISA على أجهزة Pulse Secure المكسورة الحماية لم يتم اكتشافها بواسطة حلول مكافحة الفيروسات. كان واحدًا فقط من البرامج الضارة موجودًا في قاعدة بيانات VirusTotal وتم اكتشافه بواسطة برنامج مكافحة الفيروسات كمتغير لقذيفة الويب ATRIUM.