apt5-vpn-exploitation-2021

# APT5 - Exploração de VPN Pulse Secure (2021) > [!high] Campanha de Espionagem Chinesa via VPN Zero-Day - 2020/2021 > A partir de agosto de 2020, o grupo UNC2630 - associado ao [[g1023-apt5|APT5]] chinês - comprometeu dezenas de appliances Pulse Secure VPN em organizações de defesa, governo e finanças dos EUA e Europa, utilizando zero-days e vulnerabilidades de 2019/2020. ## Visão Geral Esta campanha representa uma das mais sofisticadas operações de espionagem de longa duração via exploração de infraestrutura de acesso remoto empresarial. O [[unc2630|UNC2630]], rastreado pela Mandiant como potencialmente vinculado ao [[g1023-apt5|APT5]] chinês, explorou sistematicamente vulnerabilidades em appliances Pulse Secure VPN para comprometer organizações alinhadas com as prioridades estratégicas do 14º Plano Quinquenal da China. A campanha foi notável por sua **persistência pós-atualização**: os atacantes modificavam o processo de upgrade do Pulse Secure para reinstalar webshells automaticamente após cada atualização de firmware, garantindo presença contínua por meses sem detecção. A Mandiant identificou 16 famílias de malware exclusivamente desenvolvidas para infectar appliances Pulse Secure, incluindo SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE e PULSECHECK - todas atribuídas ao UNC2630. A divulgação pública ocorreu em 20 de abril de 2021, após investigações da Mandiant em conjunto com a CISA e a Ivanti. No contexto LATAM, o impacto direto foi limitado, mas a campanha demonstrou vulnerabilidade crítica de infraestrutura VPN corporativa que afeta organizações globalmente, incluindo filiais de multinacionais na América Latina. ## Timeline da Campanha ```mermaid timeline section 2020 Agosto 2020 : UNC2630 inicia exploração CVE-2019-11510 + CVE-2020-8260 Outubro 2020 : UNC2717 começa campanhas em agências governamentais globais section 2021 Abril 2021 : Mandiant descobre zero-day CVE-2021-22893 (CVSS 10.0) Abril 17-20 : UNC2630 remove webshells ATRIUM e SLIGHTPULSE em resposta Abril 20 : Divulgação pública Mandiant + alerta CISA AA21-110A Maio 2021 : Patch CVE-2021-22893 lançado pela Ivanti ``` ## TTPs - Kill Chain ```mermaid graph TB A["🔓 Exploração VPN CVE-2021-22893 CVSS 10 + CVEs 2019/2020"] --> B["🐚 Webshells implantados RADIALPULSE, PULSECHECK ATRIUM - acesso remoto"] B --> C["🔑 Coleta de credenciais SLOWPULSE harvest bypass MFA nos flows VPN"] C --> D["🔄 Persistência pós-upgrade Modificação DSUpgrade.pm reinstala backdoor no upgrade"] D --> E["↔️ Movimento lateral RDP, SSH, acesso web via IP pool do VPN"] E --> F["☁️ Acesso cloud M365 com credenciais capturadas"] F --> G["🧹 Evasão THINBLOOD - limpeza de logs e artefatos"] ``` | Técnica MITRE | Descrição | |---------------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVE-2021-22893 e CVEs Pulse Secure | | [[t1505-003-web-shell\|T1505.003]] | Webshells RADIALPULSE, PULSECHECK, ATRIUM | | [[t1556-modify-auth-process\|T1556]] | SLOWPULSE - bypass de MFA nos fluxos de login | | [[t1601-modify-system-image\|T1601]] | Modificação de binários legítimos do Pulse Secure | | [[t1021-001-rdp\|T1021.001]] | Movimento lateral via RDP com credenciais capturadas | | [[t1070-indicator-removal\|T1070]] | THINBLOOD - remoção de logs e evidências forenses | | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas capturadas para pivoting | ## Atribuição e Contexto Geopolítico A Mandiant atribuiu a campanha ao UNC2630 com confiança moderada, identificando forte sobreposição com atividade histórica do [[g1023-apt5|APT5]] que remonta a 2014-2015. O APT5 é rastreado como ator de espionagem patrocinado pelo governo chinês com foco histórico em: - Aerospace e defesa (EUA, Europa, Ásia) - Fabricantes de equipamentos de rede e empresas de software - Telecomúnicações O timing e os alvos da campanha de 2021 estavam alinhados com as prioridades do 14º Plano Quinquenal da China, conforme análise da Mandiant. ## Detecção e Defesa **Indicadores de comprometimento:** - Arquivos adicionais ou modificados em partições do Pulse Secure (verificar com Integrity Checker Tool) - Atividade de EventIDs 4624/4625 originadas de IPs do pool DHCP do VPN - Modificações não autorizadas em `DSUpgrade.pm` - Gaps em logs ou discrepâncias entre logs locais e SIEM remoto **Mitigações:** - Aplicar patches CVE-2021-22893, CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 - Executar o Pulse Secure Integrity Checker Tool (ICT) inclusive nas partições de rollback - Habilitar logging não-autenticado de acesso web e syslog remoto - Monitorar autenticações anômalas por geolocalização versus histórico de logons ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day) Mandiant - Check Your Pulse: APT Actors Leverage Pulse Secure Zero-Day (2021) - [2](https://cloud.google.com/blog/topics/threat-intelligence/updates-on-chinese-apt-compromising-pulse-secure-vpn-devices) Mandiant - Re-Checking Your Pulse: Updates on Chinese APT Actors (2021) - [3](https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day-used-to-hack-defense-firms-govt-orgs/) BleepingComputer - Pulse Secure VPN Zero-Day Used to Hack Defense Firms (2021) - [4](https://kudelskisecurity.com/research/active-exploitation-of-citrix-adc-and-gateway-critical-remote-code-execution-vulnerability-by-suspected-chinese-apt5/) Kudelski Security - APT5 Exploração Citrix ADC CVE-2022-27518 (2022)