Китайски хакери използваха 0-day експлойт за уязвимост с критична сериозност в защитната стена на Sophos, за да компрометират компания и да нарушат хостваните в облак уеб сървъри, управлявани от жертвата.

Междувременно проблемът със сигурността беше отстранен, но различни хакери продължиха да го използват, за да заобиколят удостоверяването и да изпълняват произволен код отдалечено в множество организации.

На 25 март Sophos публикува съвет за сигурност относно CVE-2022-1040, уязвимост за заобикаляне на удостоверяване, която засяга потребителския портал и уеб администратора на защитната стена на Sophos и може да бъде използвана за изпълнение на произволен код от разстояние.

Три дни по-късно компанията предупреди, че хакерите използват проблема със сигурността, за да се насочат към няколко организации в региона на Южна Азия.

Тази седмица компанията за киберсигурност Volexity описа подробно атака от китайска група , която проследяват като DriftingCloud, която използва CVE-2022-1040 от началото на март, малко повече от три седмици преди Sophos да пусне корекция. Хакерите използват експлойта , за да компрометират защитната стена и да инсталира задни врати на уеб обвивката и зловреден софтуер, които биха позволили компрометиране на външни системи извън мрежата, защитена от защитната стена на Sophos.

Когато Volexity започна разследването, заплахата все още беше активна и изследователите можеха да наблюдават стъпките на атаката, разкривайки усъвършенстван противник, който положи усилия да остане неоткрит.

Изследователите отбелязват, че нападателят се е опитал да смеси трафика си чрез достъп до инсталираната уеб обвивка чрез заявки към легитимния файл „login.jsp“.

Навлизайки по-дълбоко, изследователите откриха, че нападателят използва рамката Behinder, която според тях е използвана и от други китайски APT групи, които експлоатират CVE-2022-26134 в сървърите на Confluence.

Получаване на достъп до уеб сървъри

Освен уеб обвивката, Volexity откри още злонамерена дейност, която осигури постоянство и позволи на групата да продължи атаката си:

• Създаване на VPN потребителски акаунти и свързване на двойки сертификати на защитната стена за легитимен отдалечен достъп до мрежата
• Записване на „pre_install.sh“ в „/conf/certificate/“
• „pre_install.sh“ изпълнява злонамерена команда, за да изтегли двоичен файл, да го изпълни и след това да го изтрие от диска

Изследователите казват, че получаването на достъп до защитната стена на Sophos е първата стъпка от атаката, позволявайки на противника да извършва дейност MitM чрез модифициране на DNS отговори за конкретни уебсайтове, управлявани от компанията – жертва.

Изглежда, че нападателят е бил успешен в този опит, тъй като е осъществил достъп до администраторските страници на CMS, използвайки откраднати бисквитки за сесия и е инсталирал приставката за файловия мениджър за обработка на файлове на уебсайта (качване, изтегляне, изтриване, редактиране). След като получават достъп до уеб сървъра, DriftingCloud  инсталират PupyRAT, Pantegana и Sliver – три семейства злонамерен софтуер за отдалечен достъп, които са публично достъпни.

Откриване на подобни атаки

Volexity оценява, че хакерската група DrifitingCloud е достатъчно усъвършенствана, за да разработи  0-day уязвимости  или достатъчно добре финансирана, за да  закупи готов инструментариум и знания.

Sophos предостави актуални корекции, които автоматично адресират CVE-2022-1040, както и мерки за смекчаване, които помагат на организациите, използващи неговата защитна стена, да се предпазят от използване на уязвимостта.

За идентифициране на подобни атаки, Volexity препоръчва внедряване на механизми за наблюдение на мрежовата сигурност, които откриват и регистрират трафик от гейтуей устройства.

Компанията също така препоръчва използването на инструмента auditd на Unix-базирани сървъри за по-лесно разследване на пробиви. Доставчиците или периметровите устройства също трябва да предоставят методи за изследване на потенциални заплахи.