Китайски хакери използваха 0-day експлойт за уязвимост с критична сериозност в защитната стена на Sophos, за да компрометират компания и да нарушат хостваните в облак уеб сървъри, управлявани от жертвата.

Междувременно проблемът със сигурността беше отстранен, но различни хакери продължиха да го използват, за да заобиколят удостоверяването и да изпълняват произволен код отдалечено в множество организации.

На 25 март Sophos публикува съвет за сигурност относно CVE-2022-1040, уязвимост за заобикаляне на удостоверяване, която засяга потребителския портал и уеб администратора на защитната стена на Sophos и може да бъде използвана за изпълнение на произволен код от разстояние.

Три дни по-късно компанията предупреди, че хакерите използват проблема със сигурността, за да се насочат към няколко организации в региона на Южна Азия.

Тази седмица компанията за киберсигурност Volexity описа подробно атака от китайска група , която проследяват като DriftingCloud, която използва CVE-2022-1040 от началото на март, малко повече от три седмици преди Sophos да пусне корекция. Хакерите използват експлойта , за да компрометират защитната стена и да инсталира задни врати на уеб обвивката и зловреден софтуер, които биха позволили компрометиране на външни системи извън мрежата, защитена от защитната стена на Sophos.

DriftingCloud exploiting 0day in Sophos Firewall

Когато Volexity започна разследването, заплахата все още беше активна и изследователите можеха да наблюдават стъпките на атаката, разкривайки усъвършенстван противник, който положи усилия да остане неоткрит.

Изследователите отбелязват, че нападателят се е опитал да смеси трафика си чрез достъп до инсталираната уеб обвивка чрез заявки към легитимния файл „login.jsp“.

Навлизайки по-дълбоко, изследователите откриха, че нападателят използва рамката Behinder, която според тях е използвана и от други китайски APT групи, които експлоатират CVE-2022-26134 в сървърите на Confluence.

Получаване на достъп до уеб сървъри

Освен уеб обвивката, Volexity откри още злонамерена дейност, която осигури постоянство и позволи на групата да продължи атаката си:

  • Създаване на VPN потребителски акаунти и свързване на двойки сертификати на защитната стена за легитимен отдалечен достъп до мрежата
  • Записване на „pre_install.sh“ в „/conf/certificate/“
  • „pre_install.sh“ изпълнява злонамерена команда, за да изтегли двоичен файл, да го изпълни и след това да го изтрие от диска

Изследователите казват, че получаването на достъп до защитната стена на Sophos е първата стъпка от атаката, позволявайки на противника да извършва дейност MitM чрез модифициране на DNS отговори за конкретни уебсайтове, управлявани от компанията – жертва.

Изглежда, че нападателят е бил успешен в този опит, тъй като е осъществил достъп до администраторските страници на CMS, използвайки откраднати бисквитки за сесия и е инсталирал приставката за файловия мениджър за обработка на файлове на уебсайта (качване, изтегляне, изтриване, редактиране). След като получават достъп до уеб сървъра, DriftingCloud  инсталират PupyRAT, Pantegana и Sliver – три семейства злонамерен софтуер за отдалечен достъп, които са публично достъпни.

Откриване на подобни атаки

Volexity оценява, че хакерската група DrifitingCloud е достатъчно усъвършенствана, за да разработи  0-day уязвимости  или достатъчно добре финансирана, за да  закупи готов инструментариум и знания.

Sophos предостави актуални корекции, които автоматично адресират CVE-2022-1040, както и мерки за смекчаване, които помагат на организациите, използващи неговата защитна стена, да се предпазят от използване на уязвимостта.

За идентифициране на подобни атаки, Volexity препоръчва внедряване на механизми за наблюдение на мрежовата сигурност, които откриват и регистрират трафик от гейтуей устройства.

Компанията също така препоръчва използването на инструмента auditd на Unix-базирани сървъри за по-лесно разследване на пробиви. Доставчиците или периметровите устройства също трябва да предоставят методи за изследване на потенциални заплахи.

Източник: По материали от Интернет

Подобни публикации

Хакери продават личните данни на над милиард ки...

Съобщава се, че хакери са откраднали данните на около един милиард ...
4 юли 2022

Хакнаха акаунти на британската армия

Оперативната сигурност (opsec) на британската армия беше поставена ...
3 юли 2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години за изпълнение. Ето девет кратки,...
2 юли 2022

Глобиха Clearview AI и в Обединеното кралство

На базираната в САЩ компания е наредено да изтрие всички лични данн...

Най-добрите безплатни инструменти за премахване...

Пейзажът на заплахите за киберсигурността се развива и разширява вс...

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват, за да инстал...

Можете ли да получите част от колективното обез...

Facebook ще трябва да плати 90 милиона долара за колективно къдебно...
29 юни 2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет души от престъп...
29 юни 2022

Amazon коригира сериозна уязвимост в приложени...

Amazon потвърди и поправи уязвимост в приложението си Photos за And...
Бъдете социални
Още по темата
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
01/07/2022

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват,...
29/06/2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет...
Последно добавени
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
04/07/2022

Хакнаха акаунти на британск...

Оперативната сигурност (opsec) на британската армия...
03/07/2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години...
Ключови думи