האקרים ניסו 2 שיטות לניצול פגיעות של יום אפס ב-Sophos’ חומת אש של XG, אבל סופוס אומר שהוא ביצע תיקון זמני שהפחית את הסיכונים.
תוקפים ניסו במקור לשתול סוס טרויאני ברשתות על ידי ניצול הפגיעות של יום האפס, אבל אז עבר לתוכנת כופר.
חומות האש של XG שקיבלו תיקון חם הצליחו לחסום את ההתקפות, כולל תוכנת הכופר, שהחברה זיהתה בתור Ragnarok.
תוכנה זדונית נעילה קריפטו זו הבחינה לראשונה בינואר, כאשר חברת האבטחה FireEye פרסמה דיווח על כך, מציינת שהמפעילים שלה ניסו לנצל את הפגמים בשרתי ה-ADC וה-Gateway של Citrix באותה עת.
סופוס זיהה את הגל הראשון של התקפות אלו באפריל כאשר ההאקרים ניסו לנצל פגיעות של הזרקת SQL של אפס יום במוצרי חומת האש של XG.
CVE-2020-12271, אפשרו לתוקפים למקד את שרת מסד הנתונים המובנה של חומת האש PostgreSQL, ואז לאפשר להאקרים להחדיר שורה אחת של קוד לינוקס לתוך מסדי נתונים שיאפשר להם לשתול תוכנות זדוניות ברשתות פגיעות.
התוקפים ניסו לשתול טרויאני בשם Asnarök, מה שמאפשר לשחקני איומים לגנוב שמות משתמש וסיסמאות גיבוב.
כאשר האנליסטים של סופוס החלו להבחין בהתקפות המתרחשות, הם מיהרו להוציא תיקון זמני ללקוחותיה.
לאחר מכן ניסו ההאקרים להחליף טקטיקה.
במהלך ההתקפות הראשוניות באפריל, ההאקרים השאירו מאחור את מה שסופוס מכנה א “ערוץ גיבוי” וקבצים זדוניים אחרים שיאפשרו לתוקפים להיכנס מחדש לרשת אם הם היו מזוהים וחוסמים.
כאשר Sophos חסמה את התקפת חומת האש הראשונה עם תיקון חם, ההאקרים ניסו למנף את הפגיעות EternalBlue בגרסאות ישנות יותר של Microsoft Windows ותוכנות זדוניות בדלת האחורית של DoublePulsar כדי להיכנס מחדש לרשתות ולשתול את תוכנת הכופר Ragnarok.
התיקון החם מנע מההאקרים לבצע מתקפה חדשה יותר זו מכיוון שהוא השבית את הקבצים הזדוניים.
מָקוֹר: https://www.instagram.com/p/CAiSyUZAP6J/
