Хакерите се опитаха 2 методи за използване на уязвимост от нулев ден в Sophos’ XG защитна стена, но Sophos казва, че е направила временна корекция, която смекчава рисковете.
Нападателите първоначално са се опитали да внедрят троянски кон в мрежите, използвайки уязвимостта на нулевия ден, но след това премина към ransomware.
XG защитните стени, които получиха актуална корекция, успяха да блокират атаките, включително ransomware, което компанията идентифицира като Ragnarok.
Този крипто-заключващ зловреден софтуер беше забелязан за първи път през януари, когато фирмата за сигурност FireEye публикува доклад за това, отбелязвайки, че неговите оператори се опитват да се възползват от пропуските в ADC и Gateway сървърите на Citrix по това време.
Sophos откри първата вълна от тези атаки през април, когато хакерите се опитваха да се възползват от уязвимост на SQL инжектиране от нулев ден в продуктите за защитна стена на XG.
CVE-2020-12271, позволи на нападателите да се насочат към вградения в защитната стена сървър на база данни PostgreSQL, след това позволява на хакерите да инжектират един ред Linux код в бази данни, което ще им позволи да поставят зловреден софтуер в уязвими мрежи.
Нападателите се опитаха да поставят троянски кон, наречен Asnarök, което позволява на заплахите да крадат потребителски имена и хеширани пароли.
Когато анализаторите на Sophos започнаха да забелязват разгръщащите се атаки, те побързаха да предоставят временно решение на своите клиенти.
След това хакерите се опитаха да сменят тактиката.
По време на първоначалните атаки през април, хакерите оставиха след себе си това, което Sophos нарича a “резервен канал” и други злонамерени файлове, които биха позволили на нападателите да влязат отново в мрежа, ако са били открити и блокирани.
Когато Sophos блокира първата атака на защитната стена с актуална корекция, хакерите се опитаха да използват уязвимостта EternalBlue в по-стари версии на Microsoft Windows и злонамерения софтуер за задната вратичка DoublePulsar, за да влязат отново в мрежи и да поставят рансъмуера Ragnarok.
Актуалната корекция попречи на хакерите да изпълнят тази по-нова атака, защото деактивира злонамерените файлове.
Източник: https://www.instagram.com/p/CAiSyUZAP6J/
