Al menos dos grupos de hackers han estado aprovechando vulnerabilidades críticas en los dispositivos VPN de Pulse Secure, así como un defecto de día cero en los ataques cibernéticos contra la defensa, el gobierno y las organizaciones financieras en los EE.UU. y otros países.
Según los avisos de seguridad publicados por el equipo Mandiant de FireEye y Pulse Secure, en los ataques observados los actores maliciosos aprovecharon varias vulnerabilidades de Pulse Secure parcheadas en 2019 y 2020 (CVE-2019-11510, CVE-2020-8243) y un error previamente desconocido, rastreado como CVE-2021-22893, para eludir las protecciones de autenticación multifactor y obtener acceso a las redes empresariales.
"Una combinación de vulnerabilidades previas y una vulnerabilidad previamente desconocida descubierta en abril de 2021, CVE-2021-22893, son responsables del vector de infección inicial", dijo FireEye.
Según la firma de ciberseguridad, los ataques comenzaron en agosto de 2020 cuando el primer grupo, conocido como UNC2630, comenzó a atacar a contratistas de defensa estadounidenses y organizaciones europeas.
Los investigadores creen que unC2630 está trabajando en nombre del gobierno chino y puede tener vínculos con otro actor de espionaje vinculado a China rastreado como APT5 basado en "fuertes similitudes con intrusiones históricas que se remontan a 2014 y 2015".
FireEye está rastreando actualmente a 12 familias de malware asociadas con la explotación de dispositivos Pulse Secure VPN que son capaces de eludir la autenticación y tienen capacidades de puerta trasera. Sin embargo, estas familias de malware no están necesariamente relacionadas entre sí, FireEye señaló.
La lista de familias de malware incluye:
- UNC2630: SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE Y PULSECHECK
- UNC2717: HARDPULSE, QUIETPULSE Y PULSEJUMP
Otras dos familias de malware, STEADYPULSE y LOCKPICK, utilizados en los ataques, no han sido atribuidos a ningún actor de amenazas debido a la falta de evidencia.
"Observamos credenciales de recolección unc2630 de varios flujos de inicio de sesión de Pulse Secure VPN, lo que en última instancia permitió al actor utilizar credenciales de cuenta legítimas para moverse lateralmente en los entornos afectados. Con el fin de mantener la persistencia en las redes comprometidas, el actor utilizó binarios y scripts legítimos pero modificados de Pulse Secure en el dispositivo VPN", señaló FireEye.
La empresa matriz de Pulse Secure, Ivanti, proporcionó mitigaciones temporales para prevenir ataques, y se espera que el parche final se publique en mayo de 2021.
