Хакеры удалили вредоносное ПО из зараженных сетей за три дня до публикации отчета об атаке.

В прошлом месяце специалисты ИБ-фирмы FireEye обнаружили китайскую вредоносную кампанию, в рамках которой хакеры использовали уязвимость нулевого дня ( CVE-2021-22893 ) в устройствах Pulse Secure VPN для взлома оборонных подрядчиков и правительственных организаций в США и по всей Европе.

Группировкам UNC2630 и UNC2717 удалось установить web-оболочки на устройства Pulse Secure и использовать их для перемещения по внутренней сети, а также кражи учетных данных, электронных писем и конфиденциальных документов.

Но теперь эксперты сообщили , что по крайней мере одна из группировок начала удалять свое вредоносное ПО из зараженных сетей за три дня до того, как исследователи опубликовали отчет об атаке. Действия злоумышленников выглядят очень подозрительно и вызывают вопросы о том, знали ли хакеры о обнаружении со стороны FireEye.

Это похоже на простое совпадение, но UNC2630 могла сознательно отступить и удалить свидетельства атаки с целью защитить другие операции.

В новом отчете эксперты также рассказали о четырех видах вредоносного ПО, связанных с атаками на Pulse Secure. Раньше специалистам удалось идентифицировать лишь 12 видов вредоносов. Кроме того, FireEye связала обе группировки с китайским правительством. Злоумышленники, предположительно, действовали в целях кибершпионажа.

Источник: securitylab