米国およびヨーロッパの組織へのPulse ConnectSecureのゼロデイ攻撃

2021/04/24 セキュリティーニュース
logo

専門家は、Pulse SecureVPNへの攻撃に関連する合計12のマルウェアファミリを特定しました。

 

サイバー犯罪者は、パッチがまだリリースされていないPulse Connect Secureゲートウェイ(CVE-2021-22893)のゼロデイ脆弱性を悪用して企業ネットワークを攻撃します。情報セキュリティ会社FireEyeの専門家によると、少なくとも2つのハッカーグループがこの脆弱性を悪用して、米国およびその他の国の防衛、政府、金融機関を攻撃しています。

 

研究者によると、攻撃者は2021年4月に発見された新しい脆弱性と、既知の脆弱性を悪用して、企業ネットワークへの初期アクセスを取得しています。専門家は、Pulse SecureVPNインストールへの攻撃に関連する合計12のマルウェアファミリーを特定しました。

 

前述のハッカーグループであるUNC2630とUNC2717は、それぞれ米国の防衛産業基地とヨーロッパの組織のネットワークへの攻撃に責任があります。専門家はUNC2630を中国政府と関連付けており、APT5ハッカーグループに関連していると示唆しています。このグループは、UNC2717が登場した2020年8月から10月まで攻撃を実行していました。 2番目のグループは、この脆弱性を悪用して、ヨーロッパと米国の政府機関のネットワークにカスタムマルウェアサンプルを展開しました。

 

UNC2630関連のマルウェア:SLOWPULSE、RADIALPULSE、THINBLOOD、ATRIUM、PACEMAKER、SLIGHTPULSE、PULSECHECK。

UNC2717関連のマルウェア:

HARDPULSE、QUIETPULSE、PULSEJUMP。

攻撃中に展開された2つの追加のマルウェアファミリ、STEADYPULSEとLOCKPICKは、情報が不足しているため、特定のグループに関連付けられていませんでした。

 

UNC2630は、Pulse Secure VPN(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243、CVE-2021-22893)の脆弱性を悪用することにより、資格情報を乗っ取り、攻撃された環境をナビゲートするために使用しました。侵害されたネットワークで永続性を獲得するために、ハッカーは正規のPulse Secureコードとスクリプトの修正バージョンを使用して、任意のコマンドを実行し、Webシェルを挿入しました。

 

詳細:https://www.securitylab.ru/news/519141.php

翻訳者:吉田一範

まとめ

Pulse Secure VPNの脆弱性について、日本国内でも複数の組織から被害報告が寄せられているとのことです。テレワークが拡大する中、VPN機器が利用される機会が増えていますが、脆弱性が未適用の機器が多く残っているとのことです。子の脆弱性は、正規ユーザーになりすましてSSL-VPNに接続できるようになります。

 

詳細:https://blogs.jpcert.or.jp/ja/2020/03/pulse-connect-secure.html