Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления

Ошибку нулевого дня Sophos Firewall использовали за несколько недель до исправления

21 июня 2022 г.

Согласно отчетам, уязвимость в брандмауэре Sophos, впервые обнаруженная в конце марта и вскоре после этого исправленная, использовалась китайской продвинутой постоянной угрозой (APT) за несколько недель до выпуска исправления.

Исследователи из фирмы по кибербезопасности Volexity, злоумышленника, известного как DriftingCloud, с начала марта использовали CVE-2022-1040 против ряда неназванных объектов. Он использовал его для обхода аутентификации и запуска произвольного кода на конечных точках жертв. Уязвимость затрагивает пользовательский портал и веб-админку Sophos Firewall, а злоумышленникам удалось установить бэкдоры веб-шелла и другое вредоносное ПО.

На момент обнаружения компрометация все еще была активна, а субъект угрозы все еще перемещался по сети, что дало исследователям уникальное представление о работе APT. Вывод из этого наблюдения состоит в том, что группа была «сложной» и приложила доблестные усилия, чтобы остаться незамеченной.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Вредоносное ПО второй стадии

Среди прочего, группа смешала свой трафик, получив доступ к установленному веб-шеллу через запросы к легитимному файлу «login.jps», сообщает BleepingComputer.

«На первый взгляд может показаться, что это грубая попытка входа в систему, а не взаимодействие с бэкдором. Единственными реальными элементами, которые выглядели необычными в файлах журналов, были значения реферера и коды статуса ответа», — пояснила Volexity в своем отчете.

Получив доступ к целевой сети, злоумышленник перешел к установке трех различных семейств вредоносных программ — PupyRAT, Pantegana и Sliver. Все три используются для удаленного доступа и общедоступны.

Читать или

> Уязвимость Sophos Firewall дала хакерам ключи от королевства

> Sophos предупреждает клиентов об утечке данных

> Sophos соглашается до $3,9 млрд

Исправление для CVE-2022-1040 доступно уже несколько месяцев, и пользователям рекомендуется немедленно его исправить, учитывая, что его оценка серьезности составляет 9,8.

Это был напряженный квартал для команды Sophos, которая недавно исправила две уязвимости высокой степени серьезности в устройствах Sophos Unified Threat Management: CVE-2022-0386 и CVE-2022-0652.

Sophos — британский разработчик программного обеспечения для кибербезопасности и сетевой безопасности, ориентированный в основном на программное обеспечение для обеспечения безопасности для организаций со штатом до 5000 сотрудников. Он был основан в 1985 году, но в конце 1990-х начал заниматься кибербезопасностью.

В 2019 году он был приобретен американской частной инвестиционной компанией Thoma Bravo примерно за 3,9 миллиарда долларов (7,40 доллара за акцию).

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE