Китайски хакери използваха 0-day експлойт за уязвимост с критична сериозност в защитната стена на Sophos, за да компрометират компания и да нарушат хостваните в облак уеб сървъри, управлявани от жертвата.
Междувременно проблемът със сигурността беше отстранен, но различни хакери продължиха да го използват, за да заобиколят удостоверяването и да изпълняват произволен код отдалечено в множество организации.
На 25 март Sophos публикува съвет за сигурност относно CVE-2022-1040, уязвимост за заобикаляне на удостоверяване, която засяга потребителския портал и уеб администратора на защитната стена на Sophos и може да бъде използвана за изпълнение на произволен код от разстояние.
Три дни по-късно компанията предупреди, че хакерите използват проблема със сигурността, за да се насочат към няколко организации в региона на Южна Азия.
Тази седмица компанията за киберсигурност Volexity описа подробно атака от китайска група , която проследяват като DriftingCloud, която използва CVE-2022-1040 от началото на март, малко повече от три седмици преди Sophos да пусне корекция. Хакерите използват експлойта , за да компрометират защитната стена и да инсталира задни врати на уеб обвивката и зловреден софтуер, които биха позволили компрометиране на външни системи извън мрежата, защитена от защитната стена на Sophos.
Когато Volexity започна разследването, заплахата все още беше активна и изследователите можеха да наблюдават стъпките на атаката, разкривайки усъвършенстван противник, който положи усилия да остане неоткрит.
Изследователите отбелязват, че нападателят се е опитал да смеси трафика си чрез достъп до инсталираната уеб обвивка чрез заявки към легитимния файл „login.jsp“.
Навлизайки по-дълбоко, изследователите откриха, че нападателят използва рамката Behinder, която според тях е използвана и от други китайски APT групи, които експлоатират CVE-2022-26134 в сървърите на Confluence.
Освен уеб обвивката, Volexity откри още злонамерена дейност, която осигури постоянство и позволи на групата да продължи атаката си:
Изследователите казват, че получаването на достъп до защитната стена на Sophos е първата стъпка от атаката, позволявайки на противника да извършва дейност MitM чрез модифициране на DNS отговори за конкретни уебсайтове, управлявани от компанията – жертва.
Изглежда, че нападателят е бил успешен в този опит, тъй като е осъществил достъп до администраторските страници на CMS, използвайки откраднати бисквитки за сесия и е инсталирал приставката за файловия мениджър за обработка на файлове на уебсайта (качване, изтегляне, изтриване, редактиране). След като получават достъп до уеб сървъра, DriftingCloud инсталират PupyRAT, Pantegana и Sliver – три семейства злонамерен софтуер за отдалечен достъп, които са публично достъпни.
Volexity оценява, че хакерската група DrifitingCloud е достатъчно усъвършенствана, за да разработи 0-day уязвимости или достатъчно добре финансирана, за да закупи готов инструментариум и знания.
Sophos предостави актуални корекции, които автоматично адресират CVE-2022-1040, както и мерки за смекчаване, които помагат на организациите, използващи неговата защитна стена, да се предпазят от използване на уязвимостта.
За идентифициране на подобни атаки, Volexity препоръчва внедряване на механизми за наблюдение на мрежовата сигурност, които откриват и регистрират трафик от гейтуей устройства.
Компанията също така препоръчва използването на инструмента auditd на Unix-базирани сървъри за по-лесно разследване на пробиви. Доставчиците или периметровите устройства също трябва да предоставят методи за изследване на потенциални заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.