A hackerek megpróbálták 2 a Sophos nulladik napi sebezhetőségének kihasználásának módszerei’ XG tűzfal, de a Sophos azt mondja, hogy ideiglenes javítást végzett, amely csökkentette a kockázatokat.
A támadók eredetileg a nulladik napi sebezhetőség kihasználásával próbáltak trójaiakat telepíteni a hálózatokba., de aztán ransomware-re váltott.
A gyorsjavítást kapott XG tűzfalak képesek voltak blokkolni a támadásokat, beleértve a ransomware-t is, amelyet a cég Ragnarok néven azonosított.
Ezt a kriptoblokkoló malware-t először januárban vették észre, amikor a FireEye biztonsági cég jelentést tett közzé arról, megjegyezve, hogy üzemeltetői akkoriban megpróbálták kihasználni a Citrix ADC és Gateway szervereinek hibáit.
A Sophos áprilisban észlelte a támadások első hullámát, amikor a hackerek megpróbálták kihasználni az XG tűzfaltermékek nulladik napi SQL-befecskendezési sebezhetőségét..
CVE-2020-12271, lehetővé tette a támadók számára, hogy megcélozzák a tűzfal beépített PostgreSQL adatbázis-kiszolgálóját, majd lehetővé teszi a hackerek számára, hogy egyetlen sor Linux-kódot fecskendezzenek be adatbázisokba, amelyek lehetővé teszik számukra, hogy rosszindulatú programokat telepítsenek a sebezhető hálózatokba.
A támadók egy Asnarök nevű trójai programot próbáltak elültetni, amely lehetővé teszi a fenyegetés szereplői számára, hogy ellopják a felhasználóneveket és a kivonatolt jelszavakat.
Amikor a Sophos elemzői észrevették a kibontakozó támadásokat, ideiglenes megoldást siettek ügyfeleinek..
A hackerek ezután taktikát próbáltak váltani.
A kezdeti támadások során áprilisban, a hackerek hátrahagyták azt, amit Sophos a “tartalék csatorna” és egyéb rosszindulatú fájlok, amelyek lehetővé teszik a támadók számára, hogy újra beléphessenek a hálózatba, ha észlelték és blokkolták őket.
Amikor a Sophos egy gyorsjavítással blokkolta az első tűzfaltámadást, a hackerek megpróbálták kihasználni a Microsoft Windows régebbi verzióiban lévő EternalBlue sebezhetőséget és a DoublePulsar hátsó ajtó rosszindulatú programját, hogy újra beléphessenek a hálózatokba és elültessék a Ragnarok ransomware-t.
A gyorsjavítás megakadályozta, hogy a hackerek végrehajtsák ezt az újabb támadást, mert letiltotta a rosszindulatú fájlokat.
Forrás: https://www.instagram.com/p/CAiSyUZAP6J/
