Het netwerk van een Amerikaanse federale overheidsinstantie is succesvol met malware geïnfecteerd nadat aanvallers toegang tot inloggegevens van Microsoft Office 365- en domeinbeheerderaccounts kregen, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een uitgebreide analyse weten.
In de analyse omschrijft het CISA stap voor stap hoe de aanvallers te werk gingen. Het is echter onduidelijk hoe de Microsoft Office 365- en domeinbeheerderaccounts werden gecompromitteerd. Mogelijk werd dit gedaan via een ongepatchte Pulse Secure VPN-server. Een kwetsbaarheid in deze software, aangeduid als CVE-2019-11510, maakt het mogelijk voor aanvallers om op afstand bestanden buit te maken, waaronder wachtwoorden.
Het CISA laat weten dat Amerikaanse overheidsinstanties op grote schaal zijn aangevallen via de betreffende Pulse Secure-kwetsbaarheid. Nadat de aanvaller bij de niet nader genoemde federale overheidsinstantie toegang kreeg bracht hij eerst het netwerk in kaart. Vervolgens werd er een SSH-tunnel / reverse SOCKS-proxy opgezet om toegang tot het netwerk te behouden. Ook maakte de aanvaller een lokaal account aan waarmee er allerlei data van het netwerk kon worden gestolen.
In de analyse geeft het CISA verschillende Indicators of Compromise (IOC's). Het gaat onder andere om ip-adressen en bestandsnamen waarmee organisaties kunnen vaststellen of een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk aanwezig is of was. Tevens adviseert het CISA om netwerkverkeer op ongewone activiteiten te monitoren, zoals ongewone open poorten, grote bestanden die vanaf het netwerk naar buiten worden verstuurd en onverwachte en niet-goedgekeurde protocollen waarmee verbinding naar het internet wordt gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.