黑客正在利用0天的脉冲来解决世界各地的攻击组织

研究人员说，由国家国家在脉冲安全VPN中绕过了脉冲安全VPN的关键漏洞，以绕过双因素认证保护，并获得对美国国防行业筏和其他地方的网络的隐秘访问。

至少有一个安全缺陷是零天的，这意味着脉冲安全开发人员和大多数研究世界都是未知的，当黑客开始积极利用它时，安全公司Mandiant在星期二发布的博客文章中表示。除了CVE-2021-22893之外，由于零日被跟踪，多次黑客组织 - 至少有一个可能代表中国政府的工作原理 - 也在利用2019年和2020年固定的几种脉搏安全漏洞。

“Mandiant目前正在跟踪与脉冲安全VPN设备的开发相关联的12个恶意软件系列，”研究人员Dan Perez，Sarah Jones，Greg Wood和Stephen Eckels写道。 “这些家庭与对这些设备的认证和后门接入的规避相关，但它们不一定与彼此相关，并且在单独的调查中被观察到。多个演员很可能是对这些各种代码系列的创建和部署。“

单独使用或在音乐会中使用，安全漏洞允许黑客绕过单因素和保护VPN设备的多因素身份验证。从那里，黑客可以安装跨软件升级的恶意软件，并通过WebShell维护访问，这些接口是允许黑客远程控制受感染设备的浏览器的接口。

周二的邮政报道，过去六个月的多个入侵在过去六个月内遭到了世界各地的防御，政府和金融组织。另外，美国网络安全和基础设施安全机构表示，目标还包括美国政府机构，关键基础设施实体和其他私营部门组织。“

Mandiant表示，它已将其中一名黑客团体联系在中国政府之一。被称为UNC2630，这个以前未知的团队是至少有两个已知正在积极利用漏洞的黑客群体之一。星期二的帖子说：

我们观察了来自各种脉冲安全VPN登录流程的UNC 2630收集凭证，最终允许演员使用合法账户凭据横向移动到受影响的环境中。为了保持对受损网络的持久性，actor在VPN设备上使用了合法但修改，脉冲安全的二进制文件和脚本。这是为了完成以下内容：

Trojanize共享对象，具有恶意代码来记录凭据和旁路身份验证流程，包括多因素身份验证要求。我们跟踪这些特洛尼化的大会作为瘦小板及其变体。

注入WebShells我们目前将作为RadialPulse和PulseCheck转换为设备的合法互联网可访问脉冲安全VPN设备管理网页。

在只读和读写模式之间切换文件系统，以允许在通常只读文件系统上进行文件修改。

清除使用基于actor定义的正则表达式被跟踪为瘦的实用程序的相关日志文件。

Mandiant提供了下图，显示了绕过各种身份验证的流程和日志Access的流程：

星期二的博客文章也提到了一个以前看不见的小组，这是强大的呼唤UNC2717。 3月，本集团使用恶意软件巨大识别为欧洲组织的脉冲安全系统的Radialpulse，Pulsejump和Hardpulse。

由于此时缺乏上下文和法医证据，Mandiant无法将本报告中描述的所有代码系列与UNC2630或UNC2717相关联。我们还注意到一个或多个相关组负责开发和传播这些不同工具的可能性，这些不同工具在松散地连接的APT演员中。 UNCE2630和UNC2717之外的其他组可能采用了一个或多个这些工具。尽管我们的理解差距，但我们在技术附录中的所有代码系列中提供了详细的分析，检测技术和减轻。

在过去的两年里，脉冲安全父母公司Ivanti发布了一系列脉冲安全漏洞的修补程序，不仅允许远程攻击者在没有用户名或密码的情况下获得访问，而且还可以关闭多因素身份验证和查看日志，用户名和密码在纯文本中由VPN服务器缓存。

在同一时间跨度期间，严重漏洞的关键漏洞已由黑客积极攻击，并且可能导致了对Travelex，外币兑换和旅游保险公司的成功赎金软件攻击，忽视安装补丁。

Mandiant咨询有关，因为它表明，高度敏感区域的组织仍未申请修复。同时也是在广泛攻击下的脉冲安全零点的启示。

脉冲安全在星期二发布了一个指示用户如何减轻当前未分割的安全错误的咨询。 Mandiant博客帖子包含了大量的技术指标，这些指标组织可以用于确定其网络是否已被剥削目标。

任何使用脉冲在其网络中的脉冲安全的组织都应优先考虑读取并遵循强大和脉冲安全的建议。