Aktor APT memanfaatkan teknik bypass otentikasi dan Pulse Secure Zero-Day
Keamanan

Aktor APT memanfaatkan teknik bypass otentikasi dan Pulse Secure Zero-Day


VPN layar beranda Apple. Kredit: Unsplash.com

Perusahaan keamanan siber Amerika Mandiant baru-baru ini menghadapi sejumlah insiden keamanan seputar gangguan peralatan VPN Pulse Secure. Para penyerang yang terlibat telah menggunakan teknik bypass otentikasi untuk menghindari parameter keamanan VPN. Kelompok ancaman tampaknya telah menginstal APT melalui cangkang web untuk memantau sistem meskipun ada fungsionalitas VPN.

Kerang web ini telah bertahan dalam beberapa peningkatan. Sejauh ini, Pulse Secure telah memastikan bahwa serangan ini dibangun di atas serangkaian kerentanan sebelumnya dan satu kerentanan yang baru ditemukan pada April 2021 (CVE-2021-22893) untuk melakukan infeksi awal. Sejak serangan ini dimulai, perusahaan induk Pulse Secure, Ivanti, telah menyediakan perbaikan untuk kerentanan yang dieksploitasi menggunakan malware ini. Selain itu, perusahaan akan merilis Alat Integritas Aman Pulse Connect agar pelanggan dapat menilai apakah sistem mereka terpengaruh.

Untuk saat ini, Pulse Secure dan Mandiant telah bekerja sama dengan rajin untuk mengatasi masalah ini bagi pelanggan, mitra pemerintah, dan pakar forensik lainnya. Sejauh ini, investigasi tidak menunjukkan bukti yang menunjukkan bahwa segala jenis kompromi dalam penerapan perangkat lunak atau proses rantai pasokan menyebabkan pintu belakang yang terdeteksi ini.

Saat ini, inisiatif analisis kode yang sedang berlangsung menilai 12 keluarga malware yang tampaknya unik yang terkait dengan serangan ini. Di sisi pemerintah, Mandiant telah bergabung dengan Ivanti dan Pulse Secure untuk memantau jaringan agen untuk aktivitas pintu belakang.

Di seluruh papan, tim peneliti telah memberi label kode Trojan berbahaya relevan yang melewati otentikasi multifaktor sebagai SLOWPULSE. Dalam kerangka web, tim telah menciptakan nama kode RADIALPULSE dan PULSECHECK.

Terbukti, kelompok ancaman telah menggunakan binari dan skrip Pulse Secure yang dimodifikasi, tetapi sah, untuk merusak perangkat VPN. Memang, serangan yang terkait dengan kerentanan ini terungkap sejak 2019 dan 2020.

Para peneliti telah mengidentifikasi langkah-langkah berikut dalam proses penyerang: SLOWPULSE menggunakan objek bersama yang ter-Trojan dengan kode berbahaya untuk mencatat kredensial dan melewati pemeriksaan otentikasi, memasukkan cangkang web berbahaya ke halaman web administratif alat Pulse Secure VPN yang sah dan dapat diakses Internet untuk perangkat target, toggle sistem file antara mode Hanya-Baca dan Baca-Tulis untuk mengaktifkan modifikasi file, mempertahankan ketekunan meskipun administrator meningkatkan versi alat VPN, melepaskan berkas yang dimodifikasi dan menghapus skrip dan utilitas setelah digunakan untuk menghindari deteksi, dan menggunakan alat yang dikenal sebagai THINBLOOD untuk menghapus semua file log yang relevan berdasarkan ekspresi reguler yang ditetapkan oleh pelaku ancaman.

Tambalan terakhir untuk kerentanan ini akan berlaku mulai awal bulan ini, Mei 2021.


FBI meluncurkan upaya untuk mengurangi penggunaan kerentanan Microsoft Exchange oleh penyerang


Informasi lebih lanjut:
Perez, D., dkk. “Periksa Denyut Anda: Pelaku APT yang Dicurigai Memanfaatkan Teknik Bypass Otentikasi dan Pulse Secure Zero-Day.” FireEye, FireEye, Inc., 20 April 2021, www.fireeye.com/blog/threat-re… secure-zero-day.html.

© 2021 Science X Network

Kutipan: Aktor APT memanfaatkan teknik bypass otentikasi dan Pulse Secure Zero-Day (2021, 3 Mei) diambil pada 3 Mei 2021 dari https://techxplore.com/news/2021-05-apt-actors-exploit-authentication-bypass.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten tersebut disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : SGP Prize