Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

CISA rilascia le analisi sui malware che sfruttano le vulnerabilità di Pulse Connect VPN.

Redazione RHC : 31 Agosto 2021 06:36

Nell’ambito della continua risposta di CISA alle compromissioni di Pulse Secure, CISA ha analizzato cinque campioni di malware relativi ai dispositivi Pulse Secure sfruttati. CISA incoraggia gli utenti e gli amministratori a rivedere i seguenti cinque rapporti di analisi del malware (MAR) per le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce e gli indicatori di compromissione (IOC) e a rivedere l’avviso CISA, lo sfruttamento delle vulnerabilità sicure di Pulse Connect , per ulteriori informazioni informazione.

Supporta Red Hot Cyber attraverso

Gli aggressori prendono di mira i dispositivi Pulse Connect Secure VPN sfruttando varie vulnerabilità, tra le quali le CVE-2021-22893 e CVE-2021-22937 .

Due campioni di malware, secondo CISA, sono file Pulse Secure modificati ricevuti da dispositivi infetti. I file funzionano come raccoglitori di credenziali.

  1. Il primo file funge anche da backdoor, fornendo agli aggressori l’accesso remoto a un dispositivo compromesso.
  2. Il secondo contiene invece uno script di shell dannoso in grado di registrare nomi utente e password.

  1. Il terzo esempio includeva diversi file, incluso uno script di shell che modifica il file Pulse Secure per farlo diventare una shell web.
  2. Il quarto file è stato progettato per intercettare l’autenticazione a più fattori basata su certificati e analizzare i dati dalle richieste Web in arrivo.
  3. Il quinto esempio consisteva in due script Perl per eseguire i comandi dell’aggressore, una libreria Perl, uno script Perl e uno script di shell per la gestione e l’esecuzione del file ‘/bin/umount’.

Cinque rapporti CISA Malware Analysis (MAR) forniscono informazioni dettagliate su tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori, nonché indicatori di compromissione.

Fonte

https://us-cert.cisa.gov/ncas/current-activity/2021/08/24/cisa-releases-five-pulse-secure-related-mars

https://us-cert.cisa.gov/ncas/alerts/aa21-110a

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009